[转帖]VMSweeper 1.3 beta-安全工具-看雪-安全社区|安全招聘|kanxue.com

[转帖]VMSweeper 1.3 beta

发表于: 2010-11-10 11:07 8928

[转帖]VMSweeper 1.3 beta

TeLeMan

2010-11-10 11:07

8928

VM decompiler tool (VMProtect, CodeVirtualizer)

[QUOTE=progopis@exetools]Hi guys!

My friend released beta of version of decompiler. Here is it.

In your bug reports mention string with "#ERROR#" substring.[/QUOTE]

[QUOTE=progopis@exetools]It's ollydbg 1.10 plug-in. It can't help you with anti-debug or crc checks. All what you need is to break at any address near OEP or after OEP. Then choose "Analyze for all VM references" and paste values for all .text/.code sections scope and for VM. It will show you all possible VM references. After that you can choose any address in this table (table of reference results) and press "[Ctrl]+[Crey *]" on it and then F1 for decompile.[/QUOTE]

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

上传的附件：

VMSweeper13beta.rar （260.47kb，268次下载）

收藏・9

免费・0

支持

最新回复 (17)
寒冰心结雪币： 8192 活跃值： (2786) 能力值： ( LV3，RANK：20 ) 在线值：发帖 15 回帖 239 粉丝 0 关注私信	寒冰心结 2 楼很好的插件...下载收藏了.. 2010-11-10 11:54 0
TeLeMan 雪币： 99 活跃值： (2433) 能力值： ( LV4，RANK：50 ) 在线值：发帖 14 回帖 131 粉丝 8 关注私信	TeLeMan 1 3 楼 [QUOTE=progopis@exetools]Fixed an issue that I mentioned in a previous post.[/QUOTE] bug fix 上传的附件： VMSweeper.rar （264.63kb，179次下载） 2010-11-11 08:52 0
cntrump 雪币： 1708 活跃值： (586) 能力值： ( LV15，RANK：670 ) 在线值：发帖 204 回帖 2062 粉丝 19 关注私信	cntrump 13 4 楼分析VM的对话框打开之后，就关不了。 2010-11-11 22:02 0
AsmBrat 雪币： 6 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 97 粉丝 0 关注私信	AsmBrat 5 楼神作. 在试用ing. 2010-11-12 00:29 0
aa1ss2 雪币： 326 活跃值： (88) 能力值： ( LV6，RANK：90 ) 在线值：发帖 5 回帖 71 粉丝 3 关注私信	aa1ss2 2 6 楼 bug exe_file http://bbs.pediy.com/attachment.php?attachmentid=50890&stc=1&d=1289532995 2010-11-12 11:38 0
aa1ss2 雪币： 326 活跃值： (88) 能力值： ( LV6，RANK：90 ) 在线值：发帖 5 回帖 71 粉丝 3 关注私信	aa1ss2 2 7 楼测试环境记录数据地址消息 OllyDbg v1.10 点阵字体 'MS Sans Serif' 已被替换为 '宋体' ODbgScript v1.65.2 chinese version by hnhuqiong http://bbs.pediy.com or http://www.unpack.cn StrongOD - v0.3.3.625 Coded by 海风月影[CUG][RCT] Compiled on Apr 28 2010 14:31:31 Fix PeBug In 0x5C671 Fix PeBug In 0x5D827 Fix PeBug In 0x5D8B7 Fix PeBug In 0xC870A Fix FindFileOffset In 0x45DF58 Fix AnalyseModule In 0x45C374 Fix Guardmemory In 0x46207C KernelMode Enable! HookSSDT Successful! VmSweeper plugin v1.3 (beta) Written by Vam (c) 2009-2010 已解析出 6384 个序号已解析出 6442 个序号文件 'D:\工作文件夹\origin.vmp.exe' ID 00000184 的新进程已创建 00401000 ID 00000498 的主线程已创建 00400000 Module D:\工作文件夹\origin.vmp.exe 7C800000 Module C:\WINDOWS\system32\kernel32.dll 7C920000 Module C:\WINDOWS\system32\ntdll.dll 00401000 断点位于 origin_v.<ModuleEntryPoint> 00400000 卸载 D:\工作文件夹\origin.vmp.exe 7C800000 卸载 C:\WINDOWS\system32\kernel32.dll 7C920000 卸载 C:\WINDOWS\system32\ntdll.dll 进程已终止已解析出 6384 个序号已解析出 6442 个序号文件 'D:\工作文件夹\origin.vmp.exe' ID 0000067C 的新进程已创建 00401000 ID 00000454 的主线程已创建 00400000 Module D:\工作文件夹\origin.vmp.exe 7C800000 Module C:\WINDOWS\system32\kernel32.dll 7C920000 Module C:\WINDOWS\system32\ntdll.dll 00401000 程序入口点 *** Start Virtual Machine * Opcodes Command Value Description 00407C27 A3 pop dword ptr [reg_20] ;00000000 ;0 00407C26 71 203D9563 push 203D9563 00407C21 8D pop eax ;203D9563 add dword ptr [esp], eax ;203D9563 ............... 004077E3 3C pop eax ;00407F53 add eax, dword ptr [esp] ;00407F53 jmp eax * Stop Virtual Machine *** 00400000 卸载 D:\工作文件夹\origin.vmp.exe 7C800000 卸载 C:\WINDOWS\system32\kernel32.dll 7C920000 卸载 C:\WINDOWS\system32\ntdll.dll 进程已终止已解析出 6384 个序号已解析出 6442 个序号文件 'D:\工作文件夹\origin.vmp.exe' ID 00000340 的新进程已创建 00401000 ID 00000764 的主线程已创建 00400000 Module D:\工作文件夹\origin.vmp.exe 7C800000 Module C:\WINDOWS\system32\kernel32.dll 7C920000 Module C:\WINDOWS\system32\ntdll.dll 00401000 程序入口点 2010-11-12 11:47 0
陳明展雪币： 161 活跃值： (261) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 703 粉丝 0 关注私信	陳明展 8 楼感謝分享 OD 插件. 2010-11-12 12:29 0
小菜鸟一雪币： 1131 活跃值： (4202) 能力值： ( LV5，RANK：69 ) 在线值：发帖 6 回帖 903 粉丝 4 关注私信	小菜鸟一 9 楼 thanks : 2010-11-12 13:41 0
goodcode 雪币： 67 活跃值： (66) 能力值： ( LV7，RANK：100 ) 在线值：发帖 19 回帖 289 粉丝 2 关注私信	goodcode 2 10 楼测试程序 delphi 7 编译 VMProtect Ultimate 2.06 通过map文件 vm 函数 fun1 源代码 program Test; uses Windows, SysUtils; function Fun1(a, b:Integer): Integer; begin Result := a + b; end; begin MessageBox(0, PChar(Format('1 + 1 = %d', [Fun1( 1+1)])), '提示', MB_OK + MB_ICONINFORMATION + MB_TOPMOST); end. .vmp <?xml version="1.0" encoding="UTF-8"?> <Document> <Protection InputFileName="R:\Test.exe" Options="200" CheckKernelDebugger="false" CompressionMode="0" VMCodeSectionName=".vmp" VMExecutorCount="1" LicenseDataFileName="" OutputFileName="" WaterMarkName="" RunParameters=""> <Folders/> <Procedures> <Procedure MapAddress="Fun1" IncludedInCompilation="true" Options="1" CompilationType="0"/> </Procedures> </Protection> <DLLBox/> <Script IncludedInCompilation="true"></Script> <LicenseManager ProductCode="" LicenseData="" Algorithm="" Bits="0" PublicExp="" PrivateExp="" Modulus="" BlackList=""/> </Document> Test.vmp.exe 已增加区段.vm F1 提示 Incorrect handler address - 0040E3BF! 用 VmpVirtTest1.exe 测试也是提示 Incorrect handler address 哪里出问题了吗我的测试工程的反汇编代码 00408100 03D0 add edx, eax 00408102 8BC2 mov eax, edx 00408104 C3 ret 2010-11-12 16:18 0
Mxixihaha 雪币： 4378 活跃值： (4368) 能力值： ( LV2，RANK：10 ) 在线值：发帖 65 回帖 593 粉丝 18 关注私信	Mxixihaha 11 楼感谢分享 :) BUG: 在OD中把插件的对话框打开就关闭不了~ 2010-11-12 19:44 0
wind 雪币： 235 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 16 粉丝 0 关注私信	wind 12 楼这个好，好好研究一下 2010-11-13 12:33 0
realzoc 雪币： 200 活跃值： (24) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	realzoc 13 楼感谢分享OD插件~~ 2010-11-16 20:23 0
bbbsl 雪币： 111 活跃值： (211) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 124 粉丝 0 关注私信	bbbsl 14 楼下个体验体验 2010-11-18 22:46 0
hucaiyu 雪币： 171 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 45 粉丝 0 关注私信	hucaiyu 15 楼看看呢鼓励鼓励od插件 2011-2-16 23:26 0
hucaiyu 雪币： 171 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 45 粉丝 0 关注私信	hucaiyu 16 楼好像窗口出来就关不了的哟 2011-2-16 23:30 0
linhanshi 雪币： 97697 活跃值： (200824) 能力值： (RANK：10 ) 在线值：发帖 9249 回帖 27947 粉丝 452 关注私信	linhanshi 17 楼 VMSweeper v14 Beta 11 Added: 1) Handlers of FPU instructions fclex, fldcw, fstcw, fldz, fld1, fistp 2) Window with code segments input and VM has 3 buttons now: - Analyze - Start analysis of VM entries and import restoration. - Accept - Apply entered values of segments without analysis - Cancel - Exit without saving any changes 3) Display API names in p-code maps, relocations and function callings 4) Devirtualization of add esp, xx instruction 5) Improved restoration of partially wiped IAT 6) Import recovery such as: push reg; call vm -> call [api]. 7) push/pop reg; call vm -> mov reg,[api]. 8) Improved recognition of VM entries 9) Improved detection of VM loop Fixed: 1) Code conversion: pop xx; jmp xx into retn. 2) Restructure of intermediate code. Blocks intersections. 3) Installed several exceptions during code devirtualization. 4) Removal of anti-dump code. Translated from Russian by V0ldemAr Добавлено: 1. Обработчики FPU инструкций: fclex, fldcw, fstcw, fldz, fld1, fistp. 2. Окно ввода значений сегментов кода и ВМ теперь имеет три кнопки: - Analyze - начать анализ точек входа в ВМ и восстановление импорта. - Accept - принять введенные значения сегментов без выполнения анализа. - Cancel - выйти не производя никаких изменений. 3. Вывод имен API функций в картах пикода, релоков и вызовов функций. 4. Девиртуализация инструкции add esp, xx 5. Улучшено восстановление частично затертой IAT. 6. Восстановление импорта типа: push reg; call vm -> call [api]. 7. Восстановление импорта типа: push/pop reg; call vm -> mov reg,[api]. 8. Улучшено распознавание точек входа в ВМ. 9. Улучшено распознавание цикла ВМ. Исправлено: 1. Преобразование кода pop xx; jmp xx в retn. 2. Реструктуризация промкода. Пересечения блоков. 3. Устранено несколько исключений при девиртуализации кода. 4. Удаление кода антидампа. http://rghost.net/6720721 Программное обеспечение выпуска и Windows Crack Обучение Нам-Dabei Guanyin Бодхисаттва Нам без митабха 上传的附件： VMSweeper14beta11.rar （370.45kb，29次下载） 2011-5-19 13:01 0
maoxuechun 雪币： 24 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 45 粉丝 0 关注私信	maoxuechun 18 楼我还以为是虚拟机呢·········· 2011-5-19 23:20 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

TeLeMan

发帖

131

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (17)
寒冰心结雪币： 8192 活跃值： (2786) 能力值： ( LV3，RANK：20 ) 在线值：发帖 15 回帖 239 粉丝 0 关注私信	寒冰心结 2 楼很好的插件...下载收藏了.. 2010-11-10 11:54 0
TeLeMan 雪币： 99 活跃值： (2433) 能力值： ( LV4，RANK：50 ) 在线值：发帖 14 回帖 131 粉丝 8 关注私信	TeLeMan 1 3 楼 [QUOTE=progopis@exetools]Fixed an issue that I mentioned in a previous post.[/QUOTE] bug fix 上传的附件： VMSweeper.rar （264.63kb，179次下载） 2010-11-11 08:52 0
cntrump 雪币： 1708 活跃值： (586) 能力值： ( LV15，RANK：670 ) 在线值：发帖 204 回帖 2062 粉丝 19 关注私信	cntrump 13 4 楼分析VM的对话框打开之后，就关不了。 2010-11-11 22:02 0
AsmBrat 雪币： 6 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 97 粉丝 0 关注私信	AsmBrat 5 楼神作. 在试用ing. 2010-11-12 00:29 0
aa1ss2 雪币： 326 活跃值： (88) 能力值： ( LV6，RANK：90 ) 在线值：发帖 5 回帖 71 粉丝 3 关注私信	aa1ss2 2 6 楼 bug exe_file http://bbs.pediy.com/attachment.php?attachmentid=50890&stc=1&d=1289532995 2010-11-12 11:38 0
aa1ss2 雪币： 326 活跃值： (88) 能力值： ( LV6，RANK：90 ) 在线值：发帖 5 回帖 71 粉丝 3 关注私信	aa1ss2 2 7 楼测试环境记录数据地址消息 OllyDbg v1.10 点阵字体 'MS Sans Serif' 已被替换为 '宋体' ODbgScript v1.65.2 chinese version by hnhuqiong http://bbs.pediy.com or http://www.unpack.cn StrongOD - v0.3.3.625 Coded by 海风月影[CUG][RCT] Compiled on Apr 28 2010 14:31:31 Fix PeBug In 0x5C671 Fix PeBug In 0x5D827 Fix PeBug In 0x5D8B7 Fix PeBug In 0xC870A Fix FindFileOffset In 0x45DF58 Fix AnalyseModule In 0x45C374 Fix Guardmemory In 0x46207C KernelMode Enable! HookSSDT Successful! VmSweeper plugin v1.3 (beta) Written by Vam (c) 2009-2010 已解析出 6384 个序号已解析出 6442 个序号文件 'D:\工作文件夹\origin.vmp.exe' ID 00000184 的新进程已创建 00401000 ID 00000498 的主线程已创建 00400000 Module D:\工作文件夹\origin.vmp.exe 7C800000 Module C:\WINDOWS\system32\kernel32.dll 7C920000 Module C:\WINDOWS\system32\ntdll.dll 00401000 断点位于 origin_v.<ModuleEntryPoint> 00400000 卸载 D:\工作文件夹\origin.vmp.exe 7C800000 卸载 C:\WINDOWS\system32\kernel32.dll 7C920000 卸载 C:\WINDOWS\system32\ntdll.dll 进程已终止已解析出 6384 个序号已解析出 6442 个序号文件 'D:\工作文件夹\origin.vmp.exe' ID 0000067C 的新进程已创建 00401000 ID 00000454 的主线程已创建 00400000 Module D:\工作文件夹\origin.vmp.exe 7C800000 Module C:\WINDOWS\system32\kernel32.dll 7C920000 Module C:\WINDOWS\system32\ntdll.dll 00401000 程序入口点 *** Start Virtual Machine * Opcodes Command Value Description 00407C27 A3 pop dword ptr [reg_20] ;00000000 ;0 00407C26 71 203D9563 push 203D9563 00407C21 8D pop eax ;203D9563 add dword ptr [esp], eax ;203D9563 ............... 004077E3 3C pop eax ;00407F53 add eax, dword ptr [esp] ;00407F53 jmp eax * Stop Virtual Machine *** 00400000 卸载 D:\工作文件夹\origin.vmp.exe 7C800000 卸载 C:\WINDOWS\system32\kernel32.dll 7C920000 卸载 C:\WINDOWS\system32\ntdll.dll 进程已终止已解析出 6384 个序号已解析出 6442 个序号文件 'D:\工作文件夹\origin.vmp.exe' ID 00000340 的新进程已创建 00401000 ID 00000764 的主线程已创建 00400000 Module D:\工作文件夹\origin.vmp.exe 7C800000 Module C:\WINDOWS\system32\kernel32.dll 7C920000 Module C:\WINDOWS\system32\ntdll.dll 00401000 程序入口点 2010-11-12 11:47 0
陳明展雪币： 161 活跃值： (261) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 703 粉丝 0 关注私信	陳明展 8 楼感謝分享 OD 插件. 2010-11-12 12:29 0
小菜鸟一雪币： 1131 活跃值： (4202) 能力值： ( LV5，RANK：69 ) 在线值：发帖 6 回帖 903 粉丝 4 关注私信	小菜鸟一 9 楼 thanks : 2010-11-12 13:41 0
goodcode 雪币： 67 活跃值： (66) 能力值： ( LV7，RANK：100 ) 在线值：发帖 19 回帖 289 粉丝 2 关注私信	goodcode 2 10 楼测试程序 delphi 7 编译 VMProtect Ultimate 2.06 通过map文件 vm 函数 fun1 源代码 program Test; uses Windows, SysUtils; function Fun1(a, b:Integer): Integer; begin Result := a + b; end; begin MessageBox(0, PChar(Format('1 + 1 = %d', [Fun1( 1+1)])), '提示', MB_OK + MB_ICONINFORMATION + MB_TOPMOST); end. .vmp <?xml version="1.0" encoding="UTF-8"?> <Document> <Protection InputFileName="R:\Test.exe" Options="200" CheckKernelDebugger="false" CompressionMode="0" VMCodeSectionName=".vmp" VMExecutorCount="1" LicenseDataFileName="" OutputFileName="" WaterMarkName="" RunParameters=""> <Folders/> <Procedures> <Procedure MapAddress="Fun1" IncludedInCompilation="true" Options="1" CompilationType="0"/> </Procedures> </Protection> <DLLBox/> <Script IncludedInCompilation="true"></Script> <LicenseManager ProductCode="" LicenseData="" Algorithm="" Bits="0" PublicExp="" PrivateExp="" Modulus="" BlackList=""/> </Document> Test.vmp.exe 已增加区段.vm F1 提示 Incorrect handler address - 0040E3BF! 用 VmpVirtTest1.exe 测试也是提示 Incorrect handler address 哪里出问题了吗我的测试工程的反汇编代码 00408100 03D0 add edx, eax 00408102 8BC2 mov eax, edx 00408104 C3 ret 2010-11-12 16:18 0
Mxixihaha 雪币： 4378 活跃值： (4368) 能力值： ( LV2，RANK：10 ) 在线值：发帖 65 回帖 593 粉丝 18 关注私信	Mxixihaha 11 楼感谢分享 :) BUG: 在OD中把插件的对话框打开就关闭不了~ 2010-11-12 19:44 0
wind 雪币： 235 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 16 粉丝 0 关注私信	wind 12 楼这个好，好好研究一下 2010-11-13 12:33 0
realzoc 雪币： 200 活跃值： (24) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	realzoc 13 楼感谢分享OD插件~~ 2010-11-16 20:23 0
bbbsl 雪币： 111 活跃值： (211) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 124 粉丝 0 关注私信	bbbsl 14 楼下个体验体验 2010-11-18 22:46 0
hucaiyu 雪币： 171 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 45 粉丝 0 关注私信	hucaiyu 15 楼看看呢鼓励鼓励od插件 2011-2-16 23:26 0
hucaiyu 雪币： 171 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 45 粉丝 0 关注私信	hucaiyu 16 楼好像窗口出来就关不了的哟 2011-2-16 23:30 0
linhanshi 雪币： 97697 活跃值： (200824) 能力值： (RANK：10 ) 在线值：发帖 9249 回帖 27947 粉丝 452 关注私信	linhanshi 17 楼 VMSweeper v14 Beta 11 Added: 1) Handlers of FPU instructions fclex, fldcw, fstcw, fldz, fld1, fistp 2) Window with code segments input and VM has 3 buttons now: - Analyze - Start analysis of VM entries and import restoration. - Accept - Apply entered values of segments without analysis - Cancel - Exit without saving any changes 3) Display API names in p-code maps, relocations and function callings 4) Devirtualization of add esp, xx instruction 5) Improved restoration of partially wiped IAT 6) Import recovery such as: push reg; call vm -> call [api]. 7) push/pop reg; call vm -> mov reg,[api]. 8) Improved recognition of VM entries 9) Improved detection of VM loop Fixed: 1) Code conversion: pop xx; jmp xx into retn. 2) Restructure of intermediate code. Blocks intersections. 3) Installed several exceptions during code devirtualization. 4) Removal of anti-dump code. Translated from Russian by V0ldemAr Добавлено: 1. Обработчики FPU инструкций: fclex, fldcw, fstcw, fldz, fld1, fistp. 2. Окно ввода значений сегментов кода и ВМ теперь имеет три кнопки: - Analyze - начать анализ точек входа в ВМ и восстановление импорта. - Accept - принять введенные значения сегментов без выполнения анализа. - Cancel - выйти не производя никаких изменений. 3. Вывод имен API функций в картах пикода, релоков и вызовов функций. 4. Девиртуализация инструкции add esp, xx 5. Улучшено восстановление частично затертой IAT. 6. Восстановление импорта типа: push reg; call vm -> call [api]. 7. Восстановление импорта типа: push/pop reg; call vm -> mov reg,[api]. 8. Улучшено распознавание точек входа в ВМ. 9. Улучшено распознавание цикла ВМ. Исправлено: 1. Преобразование кода pop xx; jmp xx в retn. 2. Реструктуризация промкода. Пересечения блоков. 3. Устранено несколько исключений при девиртуализации кода. 4. Удаление кода антидампа. http://rghost.net/6720721 Программное обеспечение выпуска и Windows Crack Обучение Нам-Dabei Guanyin Бодхисаттва Нам без митабха 上传的附件： VMSweeper14beta11.rar （370.45kb，29次下载） 2011-5-19 13:01 0
maoxuechun 雪币： 24 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 45 粉丝 0 关注私信	maoxuechun 18 楼我还以为是虚拟机呢·········· 2011-5-19 23:20 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复