VM-PROTECT UNPACK

Iniciado por Geovane, 5 Noviembre 2018, 18:27 PM

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario

Geovane

5 Noviembre 2018, 18:27 PM
¡Hola

¿Cuál es la mayor dificultad para quitar VM?

Puedo desembalar, corregir OEP, se inicia correctamente .... pero luego unoerror de acceso violado.

He hecho muchas investigaciones y prueba, lo que falta es sólo corregir la tabla de importaciones, IAT.

¿Usted me aconseja?

saludos
Para servicios, envíe un mensaje privado, sólo para servicios en curso hasta fecha de 10/06/2019

karmany

#1
6 Noviembre 2018, 13:51 PM
Hola.

VMProtect, dependiendo de la protección puede ser complejo. Recuerdo un tutorial que te puede ayudar (voy a buscarlo...)
...Mira es el tutorial 1305 de la lista de crackslatinos. Ve a la web de Ricardo Narvaja (ricardonarvaja punto info) > curso nuevo > y te diriges a la 1305 y la descargas.
Suerte.

Geovane

#2
7 Noviembre 2018, 05:39 AM Ultima modificación: 7 Noviembre 2018, 06:29 AM por Geovane
Gracias karmany , muy buen tutorial, me ayudó mucho.

---------------------------------------------------------------------------------------------------
La protección VM en mi objetivo esta con las siguientes tablas en el segmento .SVKP1
Export Table;
Import Table;
TLS Table;    
Load Configuration Table;
Import Address Table    
----------------------------------------------------------------------------------------------------
Estoy usando, StrongOD, PhantOm, OllyDumpEx_Od11.

Encuentro nuevo OEP, he volcado con .code y .SVKP0 llenado.

Antes de hacer volcado, observé en la memoria con LordPE, todas las tablas que dice contener en .SVKP1

Entonces el volcado cargado en el Ollydbg con la opción de parar en Entry point of main module,
y en el caso, y esta todo en el lugar exacto!

Creo que era para rodar el programa, ya que esta todo en su lugar, pero creo que para estar todo bien puedo hasta suprimir el segmento .SVKP1, sin embargo, las tablas están todavía en este segmento.


****************
Puedo iniciar el programa, rueda un poco, llama unas CALL, pero luego del error de acceso violado.


Voy a estudiar con máxima fuerza sobre este acceso violado, también observar si en el desalojo nada conrrompe, se necesita recuperar o ajustar algo, como dirección o datos.

Voy a continuar hasta el final

Gracias, saludos




1. Nuevas informaciones


El mensaje de error es
(The address 7030228A is not a valid memory location....)

Esto ocurre en .SVKP0

Se está ejecutando bien el programa, pero en un (ret 0x54), o EIP va a 7030228A e se produce el error.

Bueno, mi teoría de toda memoria de las tablas estar en el mismo lugar, va a rodar ...... esta equivocado !!!!!


Necesito saber una cosa .....

Toda memoria de las tablas esta igual, pero ahora el punto de entrada del programa esta diferente, tal vez eso afecte.

En el mismo tiempo creo que el ret 0x54 es para saltar al punto de entrada de una función, que ahora está perdido.


Voy a pensar y estudiar sobre eso
Toda idea y consejo es bienvenido.

Saludos 2







Para servicios, envíe un mensaje privado, sólo para servicios en curso hasta fecha de 10/06/2019

FranFin

#3
14 Noviembre 2018, 11:20 AM
Ten en cuenta que el wrapper que tiene  VMPROTECT es la parte mas "debil", lo mas complejo son las maquinas virtuales que te encuentras despues.
Saludos.
Imprimir
Ir Arriba Páginas1
Acciones del Usuario