VMProtect pregunta deteccion

Iniciado por josue9243, 25 Diciembre 2018, 17:56 PM

0 Miembros y 1 Visitante están viendo este tema.

josue9243

Hola, queria preguntar que pasa con VMProtect, les comento el caso, estoy desamblando cierto programa QUE SI TIENE VMPROTECT, el tema:

Al utilizar el VMProtect Ultra Unpacker v1.0, funciona correctamente si en el Phant0m coloco la opcion de HIDE PEB, pero si coloco esta opción no puedo dumpearlo porque en programas externos no aparece, ni en scylla ni en imprec.

El script lo pide en StrongOD pero la coloco y a la hora de darle a run, salta el cartelito de que se detecto un debugger.

Alguien que sepa que hacer?, estaba pensando injectar una dll atras de esa y ocultar el peb y a la hora de dumpearlo relinkear el peb pero es otro temita con ollydbg...

Si alguien me puede ayudar :$

Geovane

#1
.
Para servicios, envíe un mensaje privado, sólo para servicios en curso hasta fecha de 10/06/2019

josue9243

Uh si me olvide de poner el windows jajaj:

Windows 7 32 bits Ultimate.

Geovane

#3
.
Para servicios, envíe un mensaje privado, sólo para servicios en curso hasta fecha de 10/06/2019

MCKSys Argentina

Hola!

Según recuerdo, el script de VMProtect viene con un video que enseña cómo usarlo. Es recomendable mirarlo.

Por otro lado, el usar scripts es sólo para automatizar cosas repetitivas. Hay que conocer el packer y estudiarlo para poder reventarlo como se debe (Si les da un poco de f1aca, siempre pueden mirar cómo está hecho el script para entender qué es lo que hace  :P). VMPortect es uno de los más difíciles, pero también uno de los más atacados.

Saludos!

PD: Dejo 2 links interesantes: 1 de un paper y otro de la tool a la que hace referencia el mismo. Recomiendo leer el paper:

paper: https://faculty.ist.psu.edu/wu/papers/vmhunt-ccs18.pdf
tool: https://github.com/s3team/VMHunt
MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."