No consigo configurar OllyDBG para VMProtect

[Mad Antrax]

Pues eso, estoy programando un crackme (cuando lo tenga terminado lo postearé aquí), antes de publicarlo quiero testear su dureza... y bueno, yo mismo soy incapaz de cargar el crackme en mi OllyDbg, siempre termina detectado xD



He buscado un poco en google, y según leo en tuts4you hay que usar StrongOD + Phantom con las siguientes configuraciones:

Código [Seleccionar] Expandir

-StrongOD
---------------------------------
- HidePEB         Enable
- *KernelMode     Enable
- Break on TLS    Enable = Always for VMP
- !*Kill Bad PE   Enable
- Skip some EC's  Enable
- AdvEnumModule   Enable = If target not stop at TLS or EP
- Remove EP OS    Enable = Delete one shot EP BP at TLS stop
---------------------------------
- Change Original Drivername into OllyDBG.ini file!
  DriverName=newcustom
---------------------------------
---------------------------------
-Phant0m | For XP & Win7 32 Bit
---------------------------------
- Protect DRx     Enable

Y otra nota más:

The only thing you need is the right settings of Olly & StrongOD & PhantOm to get no more detected by almost any protections.The important step is that your strongOD driver will also loaded on your system and if not = see your postet picture.So I had made already video about this how to setup the stuff and how to test.Just check again any first videos of my tutorials / script tutorials there you can see it again.

Also be sure that you changed the drivername in Ollydbg.ini file in the StrongOD lines [fengyue to something else].VMP files using almost always TLS callback entrys so its then important that you also have enabled break on TLS + remove one shot BP in StrongOD.If you load any file then you should stop at TLSC address if used.Now open BP map and see whether also no soft BPs / one-shot are to see anymore.

Only use a Olly + StrongOD + PhantOm.Optional you can also use POISON plugin if you need to patch any other functions in special cases like Enigma + GetStartUp info patches.Do not use any other hide plugins or enable the same patch stuff in other hide plugins too if you have they already enabled in StrongOD etc so it makes no sense if you enable the same stuff in different plugins so there you will get just problems.

Just check my videos again so you can't do something if you follow them with a little attention.So you can also use the latest StrongOD & PhantOm plugin versions so they will also work on Win7 32 Bit correctly.

If you have setup all right then you see this in Olly LOG...

KernelMode Enable!
HookSSDT Successful!

OllyDBG.ini file open and change...
[Plugin StrongOD]
.....
DriverName=Nael   <---- enter any name you want before you start Olly

If you now start Olly then you can see the 2 infos in Olly log without to load any file.If you also have any tool which can show you the SSDTable list then you will also see the Nael.sys driver listet.

Bien, pues hago todo lo que pone ahí pero no consigo hacer bypass al debugger-detection de vmprotect hahahaha, que estoy haciendo mal?

Saludos

[MCKSys Argentina]

Bueno, con el tema de la deteccion por parte de VMProtect, ni idea.
Hay veces que el mismo Olly con StrongOD es detectado y otras no.
No imagino qué puede ser.

Otro tema: para qué le pones ese packer a los crackmes? Opino que eso sólo sirve para desmotivar a los más nuevos.

El crackme debería ser difícil, pero por la implementación que le das, no por el packer que le pones. Ni hablar que también debería ser divertido/entretenido.

En fin, con el tema de la detección: en mi XP SP3, tengo como 5 Ollys distintos, los cuales usan StrongOD (diferentes versiones) y algunos son detectados por VMP y otros no. No estoy en mi PC, pero creo que el Olly que preparo Mr. eXoDia (Olly portable) no es detectado. Fíjate en la web de tuts4you.

Saludos!

[Mad Antrax]

Bueno, con el tema de la deteccion por parte de VMProtect, ni idea.
Hay veces que el mismo Olly con StrongOD es detectado y otras no.
No imagino qué puede ser.

Otro tema: para qué le pones ese packer a los crackmes? Opino que eso sólo sirve para desmotivar a los más nuevos.

El crackme debería ser difícil, pero por la implementación que le das, no por el packer que le pones. Ni hablar que también debería ser divertido/entretenido.

En fin, con el tema de la detección: en mi XP SP3, tengo como 5 Ollys distintos, los cuales usan StrongOD (diferentes versiones) y algunos son detectados por VMP y otros no. No estoy en mi PC, pero creo que el Olly que preparo Mr. eXoDia (Olly portable) no es detectado. Fíjate en la web de tuts4you.

Saludos!

Gracias. El crackme será VB6, sacar el OEP es sencillo y ese packer no es 'in-crackeable'. Además he añadido una rutina "casera" para antidebug. Con solo parchear un JE estaría desactivada, por eso prefiero virtualizar la función y ver si os lo podéis saltar o no.

Si veo que nadie logra pasar el crackme cambiaré de packer, lo juro

[tincopasan]

no me gustan los crackmes en vb! pero esperaré por el packer!

[zerointhewill]

cambia de ollydbg , en la lista de ricardo narvaja hay muchos hermano