首页
社区
课程
招聘
[转帖]VMProtect 1.xx - 2.xx Ultra Unpacker v1.0 by LCF-AT
发表于: 2012-12-29 06:35 17863

[转帖]VMProtect 1.xx - 2.xx Ultra Unpacker v1.0 by LCF-AT

2012-12-29 06:35
17863
VMProtect 1.xx - 2.xx Ultra Unpacker v1.0 by LCF-AT
After a long time I have decided to write a completely new VMProtect unpacking script. I checked older and newer VMProtect files which I found to create a new script which can handle all versions. After a long time of writing and testing here is my finished work, now and I am very proud of my latest "masterpiece" if I can call it so. This time I really tried everything to create an "All-In-One" script so that you as user have almost nothing to do anymore except to take a choice if the script asks you anything and that is all in the best case. So it will be very user-friendly again. No dumping no fixing no section adding no PE validating! All these steps are handled by the script automatically. Good for you [bad for me with that lot of extra work] but anyway, so I did it with joy.

wrote ...
VMProtect Ultra Unpacker 1.0
******************************************************
( 1.) Advanced OEP Finder x2 [Intelli Version]
( 2.) AntiDump x4 Redirection & Dumper
( 3.) Auto API Scanner [Value & System]
( 4.) VM API Redirection
( 5.) VM API Re-Redirection to API
( 6.) API Log & Find [Import Table Data]
( 7.) Import Table Calculator
( 8.) Advanced IAT Creator [No Import-Fix necessary]
( 9.) Target File Dumper + PE Rebuilder
( 10.) Advanced Section Calc & Adder
( 11.) Resource AntiDump Code-Patcher
( 12.) Heap AntiDump Patcher
( 13.) TLS Callback Remover
( 14.) Auto Dump PE Rebuilder
( 15.) Exe & DLL Support [NO VMP DLL Box]
( 17.) ASLR TLSC & Reloc Cleaner
( 18.) CPUID & RDTSC Scan [Fix Manually]
******************************************************
Environment : ARImpRec.dll by Nacho_dj - Big Special Thanks :)

DLL is used to get:
******************************************************
API Names | Ordinals | Module Owners by Address


I also created four videos for you so see how to use the script and what to do in special situations if the script does fail to find the OEP or API LOGGER so you will see all what you need to know to get it working. I also included the the UnpackMe's into the package for you. Just read the text files which I wrote and see the videos first before you start. So I think that you will like the script and that my work on it was not in vain.

If something not works for you or if you get any trouble or have any questions etc then just post a reply in the support topic to get a answer.

16.61 MB
http://rghost.net/42588777


[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

上传的附件:
收藏
免费 1
支持
分享
最新回复 (23)
雪    币: 319
活跃值: (2459)
能力值: ( LV12,RANK:980 )
在线值:
发帖
回帖
粉丝
2
下载试试,感谢林版
2012-12-29 09:53
0
雪    币: 297
活跃值: (120)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
3
看来VMP光屁股抗个扁担横晃的日子快到头了
2012-12-29 10:00
0
雪    币: 4390
活跃值: (4378)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
太牛了  期待自动拖放.
2012-12-29 11:05
0
雪    币: 599
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
thanks for sharing, if it works well, that would be great benefit for us noobies.
2012-12-29 13:26
0
雪    币: 210
活跃值: (30)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
太吊了。。。。
2012-12-29 23:27
0
雪    币: 492
活跃值: (51)
能力值: ( LV7,RANK:100 )
在线值:
发帖
回帖
粉丝
7
前排强势围观
2012-12-29 23:46
0
雪    币: 257
活跃值: (67)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
8
关注一下,看是什么东西
2012-12-30 00:14
0
雪    币: 2194
活跃值: (1001)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
这个真心要膜拜一下
2012-12-30 00:24
0
雪    币: 2882
活跃值: (1279)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
yjd
10
LCF-AT

这人写了那么长的的脚本强悍。
2012-12-30 00:26
0
雪    币: 425
活跃值: (816)
能力值: ( LV9,RANK:553 )
在线值:
发帖
回帖
粉丝
11
人类已经无法阻止LCF-AT了
2012-12-30 01:44
0
雪    币: 2242
活跃值: (488)
能力值: ( LV9,RANK:200 )
在线值:
发帖
回帖
粉丝
12
又发现牛脚本,写得跟汇编真没两样了。
测试了一下

发现2 bug
1)
4502 DAY_7:  (应修改为0,今天刚好星期天,所以让我碰到了)
4503 mov DAY, Sunday" (补全“”)
2)
3784 mov ARIMPREC_PATH, "C:\Nacho dll test\ARImpRec.dll" (注释该句)

主要为了看看对API的修复,效果很一般,不过会继续关注
2012-12-30 02:08
0
雪    币: 1844
活跃值: (35)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
13
这个脚本就是给你们看不懂和看清楚所有脚本指令使用方式的

老实说,这个脚本修复没我的好(暂时写了 1135 行(带空行),并且很小部份地方借鉴过他上个脚本的方式),
可惜我的还没不能通用(每次都要修改,妹啊。。。,总是提不起精力完善它)
2012-12-30 11:36
0
雪    币: 136
活跃值: (105)
能力值: ( LV9,RANK:140 )
在线值:
发帖
回帖
粉丝
14
放出来秀下楼上的
2012-12-31 15:04
0
雪    币: 270
活跃值: (117)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
15
嘿嘿,不知道哪位能分流一下,Lin版给的地址超过500了
2012-12-31 15:19
0
雪    币: 97697
活跃值: (200834)
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
16
http://pan.baidu.com/share/link?shareid=164684&uk=2586535281
上传的附件:
2012-12-31 20:18
0
雪    币: 1844
活跃值: (35)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
17
脚本能脱出绝大多数(高手另类加工除外),可以从   CALL VARS 这里看出借鉴过老外的脚本编写模式,我在 52 上传过一个修复 se 的脚本,现在都以这种形式编写,资源修复在 IAT 修复完毕后,搜索被壳偷走的资源片,搬回原资源段,做完美修复,
这个我在脱壳板块也发过类是的,(当时硬编码对应我在 52pojie  发的 se 最大保护的程序的资源修复)

下面基本我编写 SE ,vmp 脱壳脚本固定的开头,暂时还不想放出, 不相信当我吹牛好了

bc
bphwcall
call VARS              // 为脚本进行了所有的 变量定义 , 并且指定 IAT 地址
call GETS              // 分配空间 ,获取和记录一些需要的 库 和 API 地址 ,和一些前期需要
call Find_Section      // 搜索各区段信息
call anti_dump
call oep_search
call find_dll          // 搜索出来的 DLL 在 分配的段内占 12 字节
call set_addr          // 格式化 new_sec 段落
call fix_jmp           // 修复带有 跳转表格式

fix_start:
2013-1-1 10:46
0
雪    币: 97697
活跃值: (200834)
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
18
Thanks you.
上传的附件:
2013-1-1 11:00
0
雪    币: 1844
活跃值: (35)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
19
[QUOTE=linhanshi;1130160]Thanks you.
[/QUOTE]

林版,新年好。。。。
2013-1-1 11:02
0
雪    币: 97697
活跃值: (200834)
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
20
yingyue 新年好!
上传的附件:
2013-1-1 11:10
0
雪    币: 278
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
21
thanks for sharing
2013-2-3 14:09
0
雪    币: 230
活跃值: (106)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
22
佩服,学习了!
2013-2-3 17:48
0
雪    币: 0
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
23
怎么下载,能分享一下吗?
2018-12-10 13:50
0
雪    币: 9
活跃值: (45)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
24
这个下载不了
2020-9-2 14:32
0
游客
登录 | 注册 方可回帖
返回
//