首页
社区
课程
招聘
[转帖]VMSweeper 1.3 beta
发表于: 2010-11-10 11:07 8930

[转帖]VMSweeper 1.3 beta

2010-11-10 11:07
8930
VM decompiler tool (VMProtect, CodeVirtualizer)

[QUOTE=progopis@exetools]Hi guys!

My friend released beta of version of decompiler. Here is it.

In your bug reports mention string with "#ERROR#" substring.[/QUOTE]

[QUOTE=progopis@exetools]It's ollydbg 1.10 plug-in. It can't help you with anti-debug or crc checks. All what you need is to break at any address near OEP or after OEP. Then choose "Analyze for all VM references" and paste values for all .text/.code sections scope and for VM. It will show you all possible VM references. After that you can choose any address in this table (table of reference results) and press "[Ctrl]+[Crey *]" on it and then F1 for decompile.[/QUOTE]

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

上传的附件:
收藏
免费 0
支持
分享
最新回复 (17)
雪    币: 8196
活跃值: (2791)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
2
很好的插件...下载收藏了..
2010-11-10 11:54
0
雪    币: 99
活跃值: (2433)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
3
[QUOTE=progopis@exetools]Fixed an issue that I mentioned in a previous post.[/QUOTE]
bug fix
上传的附件:
2010-11-11 08:52
0
雪    币: 1708
活跃值: (586)
能力值: ( LV15,RANK:670 )
在线值:
发帖
回帖
粉丝
4
分析VM的对话框打开之后,就关不了。
2010-11-11 22:02
0
雪    币: 6
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
神作. 在试用ing.
2010-11-12 00:29
0
雪    币: 326
活跃值: (88)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
6
2010-11-12 11:38
0
雪    币: 326
活跃值: (88)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
7
测试环境

记录数据
地址       消息
           OllyDbg v1.10
             点阵字体 'MS Sans Serif' 已被替换为 '宋体'
           ODbgScript v1.65.2 chinese version by hnhuqiong
             http://bbs.pediy.com or http://www.unpack.cn
           StrongOD - v0.3.3.625
             Coded by 海风月影[CUG][RCT]
             Compiled on Apr 28 2010 14:31:31
           Fix PeBug In 0x5C671
           Fix PeBug In 0x5D827
           Fix PeBug In 0x5D8B7
           Fix PeBug In 0xC870A
           Fix FindFileOffset In 0x45DF58
           Fix AnalyseModule In 0x45C374
           Fix Guardmemory In 0x46207C
           KernelMode Enable!
           HookSSDT Successful!
           VmSweeper plugin v1.3 (beta)
             Written by Vam (c) 2009-2010
             已解析出 6384 个序号
             已解析出 6442 个序号

           文件 'D:\工作文件夹\origin.vmp.exe'
           ID 00000184 的新进程已创建
00401000   ID 00000498 的主线程已创建
00400000   Module D:\工作文件夹\origin.vmp.exe
7C800000   Module C:\WINDOWS\system32\kernel32.dll
7C920000   Module C:\WINDOWS\system32\ntdll.dll
00401000   断点位于 origin_v.<ModuleEntryPoint>
00400000   卸载 D:\工作文件夹\origin.vmp.exe
7C800000   卸载 C:\WINDOWS\system32\kernel32.dll
7C920000   卸载 C:\WINDOWS\system32\ntdll.dll
           进程已终止
             已解析出 6384 个序号
             已解析出 6442 个序号

           文件 'D:\工作文件夹\origin.vmp.exe'
           ID 0000067C 的新进程已创建
00401000   ID 00000454 的主线程已创建
00400000   Module D:\工作文件夹\origin.vmp.exe
7C800000   Module C:\WINDOWS\system32\kernel32.dll
7C920000   Module C:\WINDOWS\system32\ntdll.dll
00401000   程序入口点
           ***** Start Virtual Machine *****
           Opcodes      Command                          Value                Description
00407C27   A3           pop    dword ptr [reg_20]        ;00000000            ;0
00407C26   71 203D9563  push   203D9563
00407C21   8D           pop    eax                       ;203D9563
                        add    dword ptr [esp], eax      ;203D9563

...............

004077E3   3C           pop    eax                       ;00407F53
                        add    eax, dword ptr [esp]      ;00407F53
                        jmp    eax
           ***** Stop Virtual Machine *****
00400000   卸载 D:\工作文件夹\origin.vmp.exe
7C800000   卸载 C:\WINDOWS\system32\kernel32.dll
7C920000   卸载 C:\WINDOWS\system32\ntdll.dll
           进程已终止
             已解析出 6384 个序号
             已解析出 6442 个序号

           文件 'D:\工作文件夹\origin.vmp.exe'
           ID 00000340 的新进程已创建
00401000   ID 00000764 的主线程已创建
00400000   Module D:\工作文件夹\origin.vmp.exe
7C800000   Module C:\WINDOWS\system32\kernel32.dll
7C920000   Module C:\WINDOWS\system32\ntdll.dll
00401000   程序入口点
2010-11-12 11:47
0
雪    币: 161
活跃值: (261)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
感謝分享 OD 插件.
2010-11-12 12:29
0
雪    币: 1140
活跃值: (4207)
能力值: ( LV5,RANK:69 )
在线值:
发帖
回帖
粉丝
9
thanks   :
2010-11-12 13:41
0
雪    币: 67
活跃值: (66)
能力值: ( LV7,RANK:100 )
在线值:
发帖
回帖
粉丝
10
测试程序 delphi 7 编译
VMProtect Ultimate 2.06
通过map文件 vm 函数 fun1

源代码
program Test;

uses
  Windows, SysUtils;

function Fun1(a, b:Integer): Integer;
begin
  Result := a + b;
end;

begin
  MessageBox(0, PChar(Format('1 + 1 = %d', [Fun1( 1+1)])), '提示', MB_OK +
    MB_ICONINFORMATION + MB_TOPMOST);

end.

.vmp
<?xml version="1.0" encoding="UTF-8"?>
<Document>
        <Protection InputFileName="R:\Test.exe" Options="200" CheckKernelDebugger="false" CompressionMode="0" VMCodeSectionName=".vmp" VMExecutorCount="1" LicenseDataFileName="" OutputFileName="" WaterMarkName="" RunParameters="">
                <Folders/>
                <Procedures>
                        <Procedure MapAddress="Fun1" IncludedInCompilation="true" Options="1" CompilationType="0"/>
                </Procedures>
        </Protection>
        <DLLBox/>
        <Script IncludedInCompilation="true"></Script>
        <LicenseManager ProductCode="" LicenseData="" Algorithm="" Bits="0" PublicExp="" PrivateExp="" Modulus="" BlackList=""/>
</Document>

Test.vmp.exe 已增加区段.vm
F1 提示 Incorrect handler address - 0040E3BF!
用 VmpVirtTest1.exe 测试 也是提示 Incorrect handler address

哪里出问题了吗

我的测试工程的反汇编代码
00408100 03D0                    add edx, eax
00408102 8BC2                    mov eax, edx
00408104 C3                      ret
2010-11-12 16:18
0
雪    币: 4381
活跃值: (4373)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
感谢分享 :)
BUG: 在OD中把插件的对话框打开就关闭不了~
2010-11-12 19:44
0
雪    币: 235
活跃值: (22)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
这个好,好好研究一下
2010-11-13 12:33
0
雪    币: 200
活跃值: (24)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
感谢分享OD插件~~
2010-11-16 20:23
0
雪    币: 111
活跃值: (211)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
下个体验体验
2010-11-18 22:46
0
雪    币: 171
活跃值: (12)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
15
看看呢 鼓励鼓励od插件
2011-2-16 23:26
0
雪    币: 171
活跃值: (12)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
16
好像窗口出来就关不了的哟
2011-2-16 23:30
0
雪    币: 97697
活跃值: (200824)
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
17
VMSweeper v14 Beta 11

Added:
1) Handlers of FPU instructions fclex, fldcw, fstcw, fldz, fld1, fistp
2) Window with code segments input and VM has 3 buttons now:
- Analyze - Start analysis of VM entries and import restoration.
- Accept - Apply entered values of segments without analysis
- Cancel - Exit without saving any changes

3) Display API names in p-code maps, relocations and function callings
4) Devirtualization of add esp, xx instruction
5) Improved restoration of partially wiped IAT
6) Import recovery such as: push reg; call vm -> call [api].
7) push/pop reg; call vm -> mov reg,[api].
8) Improved recognition of VM entries
9) Improved detection of VM loop

Fixed:
1) Code conversion: pop xx; jmp xx into retn.
2) Restructure of intermediate code. Blocks intersections.
3) Installed several exceptions during code devirtualization.
4) Removal of anti-dump code.

Translated from Russian by V0ldemAr

Добавлено:
1. Обработчики FPU инструкций: fclex, fldcw, fstcw, fldz, fld1, fistp.
2. Окно ввода значений сегментов кода и ВМ теперь имеет три кнопки:
- Analyze - начать анализ точек входа в ВМ и восстановление импорта.
- Accept - принять введенные значения сегментов без выполнения анализа.
- Cancel - выйти не производя никаких изменений.
3. Вывод имен API функций в картах пикода, релоков и вызовов функций.
4. Девиртуализация инструкции add esp, xx
5. Улучшено восстановление частично затертой IAT.
6. Восстановление импорта типа: push reg; call vm -> call [api].
7. Восстановление импорта типа: push/pop reg; call vm -> mov reg,[api].
8. Улучшено распознавание точек входа в ВМ.
9. Улучшено распознавание цикла ВМ.
Исправлено:
1. Преобразование кода pop xx; jmp xx в retn.
2. Реструктуризация промкода. Пересечения блоков.
3. Устранено несколько исключений при девиртуализации кода.
4. Удаление кода антидампа.


http://rghost.net/6720721


Программное обеспечение выпуска и Windows Crack Обучение
Нам-Dabei Guanyin Бодхисаттва Нам без митабха
上传的附件:
2011-5-19 13:01
0
雪    币: 24
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
18
我还以为是虚拟机呢··········
2011-5-19 23:20
0
游客
登录 | 注册 方可回帖
返回
//