кто-нибудь ломал VMProtect

а я предлагаю дерматологу не выйо, а наоборот спасиба сказать за бесплатный пеар

 

http://img70.imageshack.us/img70/8040/20070637.jpg

общий план ВМ машины , из многих файлов пакованных вмпротектом , после определенных манипуляций получается таже схема. Фильтр мусорный собрать можно под конкретную задачу на перле или питоне =)

 

удачи удачи

 

k3internal
вы просто не знакомы с методами современного анализа. или с современными методами анализа. ну вот давеча реверсил один деитерлейсер. очень продвинутый и рвущий конкурентов как грелка тузика. и он запротекчен vm protect. защиты там нет. защищен только алгоритм. усилиями трех человек (одна из которых девушка 24 года, начинающая, но очень трудолюбивая) _алгоритм_ из _полностью_ запротекченного файла был выбран за 72 часа (ну за 72*3 человека часа). там кстати ~300 кб кода было. алгоритм действительно нетривиальный. базовые принципы были добыты путем сравнения специально подготовлено серии изображений до и после интерлейса. но там самое ценное было - это куча констант, особенно пороговых. и вот их уже сравнением изображений вытянуть не реально. поэтому потребовалось терзать сам бинарник. в чистом виде данных там не оказалось, они были представлены в виде кода. пришлось поднапрячься и все равно мы его сделали!

 

kaspersky
Буде считать что вам повезло. Остаются только вопросы. Какая версия прота была. С какими опциями компилили, и самое главное, через какую задницу код компелили? Больше чем уверен, что не особо старались девелоперы.

 

k3internal
за версию и опции не скажу (не сам же я его запротекчивал), но везение тут не при чем. для вытягивая констант использовалась модель "черного" ящика, которой по фиг с чем работать. даже если это был бы код на стрелке пирса...

ну не совсем черного ящика, конечно. там сравнивались трассы/дампы для разных изображений. когда наступал порог срабатывания и дейнтерлесер начинал работать, трасса сразу менялась и было уже видно вокруг чего плясать. оставалось только вытянуть конкретные числовые знания. там они оказались в списках и циклах.

ну короче как если бы число 6 записывлось в виде "hYsVVz" (длина строки равна шести символам) или вот в пседвокоде for (a=0, res=0;a<3;a++, res+=2); return res;

это ты считаешь не старались?

 

k3internal
в догонку. цели поднятия проги до сорцов у нас не было. цель была выдрать оттуда алгоритм, чтобы заточить независимую имплементацию. до сорцов его и правда никто бы и не поднял

 

kaspersky
да старались старались)))) Ты это чего не спишь ? Ночь ведь на дворе ?))

 

k3internal
где ты видишь ночь? в SF 18:17, только заканчивается трудовой день. а в сеуле (и на сеул мыщъх тоже мыщъхачит) только 10:58 и там трудовой день только начинается.

 

ааааа, ну звини, забыл я )))

 

видимо версия была некой допотопной 1.2х без нормальной виртуализации

 

К чему спор то ? Уже декомпилеры есть ... 3 человека , совершенно с разных команд сделали для себя ...2 версии на асме , одна на сихе ... Там анализировать то совсем ничего , вы бы хотябы просто часик посидели поковыряли , всебы вопросы сами отпали. Еще пройдет чуть чуть времени , и выйдет тутор с полным описанием протектора. Это всеголишь дело времени , а массовые разговоры и интерес это начало =)

 

Декомпилер(как минимум 1) появился еще в далеком 2005м =]

 

на старые версии прота верю и знаю что есть. Давайте на 1.81 покажите.

 

ну не на такие уж и старые ...все три поддерживают 1.7 точно ... 1.8 не проверяли , не знаю , по анпаку изменения есть =) между 1.7 и 1.8 , код увеличился с теми же параметрами на 24 кб ...проверял несколько раз , ну и импорт стал прятаться иначе ... но опять же ..далеко не уйдешь , все уже было когдато , значит также разберется.

 

а вообще у нас же тут не конкурс по моде )))))))) поэтому показы как небыли так и не будут ))))

 

Ну без факта слова ничего не доказывают ведь. Получается что сама тема пуста как банка из под пива.

 

как и большинство тем на форуме.

 

нуу, я вроде-бы предложил уже "мужской" вариант решения
(историческое название = ПАРИ), который позволяет избежать ребячества от-кого-бы-то-не-было..

зачитЬ,
для поклонников VMprot-a:
назначьте премию за декомпиль или декомпильтор

для тех, у кого "есть но не показывает":
И НЕ НАДО показывать! но доказывать НАДО! (иначе трепло)
декомпильте примерчик (может и не-за-даром)

 

je_
предлагаю видоизмененный вариант задачи. полонник вм прота защищает им что-то такое, что просто невозможно не спионерить только сразу уговор - если спионерят - то на пионерят не обижаться и не приставать с требованием убрать кряки из сети

я тут уже имел неосторожность высказаться, что вм протект не очень крутой и от меня стали требовать, чтобы я вернул запротекченную программу в исходный вид в качестве докозательства. весьма странная постановка задачи, однако. так может еще и си компилятор в качестве протектора использовать? а что? особенно плюсы и кто рискнет вернуть бинарник в "исходный" вид? но это не значит, что бинарник нельзя дизасмить и захачить