 Autor
|
Tema: VM-PROTECT UNPACK (Leído 2,926 veces)
|
Geovane
 Desconectado
Mensajes: 207
|
¡Hola
¿Cuál es la mayor dificultad para quitar VM?
Puedo desembalar, corregir OEP, se inicia correctamente .... pero luego unoerror de acceso violado.
He hecho muchas investigaciones y prueba, lo que falta es sólo corregir la tabla de importaciones, IAT.
¿Usted me aconseja?
saludos
|
|
|
|
|
En línea
|
|
|
|
|
karmany
|
Hola.
VMProtect, dependiendo de la protección puede ser complejo. Recuerdo un tutorial que te puede ayudar (voy a buscarlo...)
...Mira es el tutorial 1305 de la lista de crackslatinos. Ve a la web de Ricardo Narvaja (ricardonarvaja punto info) > curso nuevo > y te diriges a la 1305 y la descargas.
Suerte.
|
|
|
|
|
En línea
|
|
|
|
Geovane
Desconectado
Mensajes: 207
|
Gracias karmany , muy buen tutorial, me ayudó mucho.
---------------------------------------------------------------------------------------------------
La protección VM en mi objetivo esta con las siguientes tablas en el segmento .SVKP1
Export Table;
Import Table;
TLS Table;
Load Configuration Table;
Import Address Table
----------------------------------------------------------------------------------------------------
Estoy usando, StrongOD, PhantOm, OllyDumpEx_Od11.
Encuentro nuevo OEP, he volcado con .code y .SVKP0 llenado.
Antes de hacer volcado, observé en la memoria con LordPE, todas las tablas que dice contener en .SVKP1
Entonces el volcado cargado en el Ollydbg con la opción de parar en Entry point of main module,
y en el caso, y esta todo en el lugar exacto!
Creo que era para rodar el programa, ya que esta todo en su lugar, pero creo que para estar todo bien puedo hasta suprimir el segmento .SVKP1, sin embargo, las tablas están todavía en este segmento.
****************
Puedo iniciar el programa, rueda un poco, llama unas CALL, pero luego del error de acceso violado.
Voy a estudiar con máxima fuerza sobre este acceso violado, también observar si en el desalojo nada conrrompe, se necesita recuperar o ajustar algo, como dirección o datos.
Voy a continuar hasta el final
Gracias, saludos
1. Nuevas informaciones
El mensaje de error es
(The address 7030228A is not a valid memory location....)
Esto ocurre en .SVKP0
Se está ejecutando bien el programa, pero en un (ret 0x54), o EIP va a 7030228A e se produce el error.
Bueno, mi teoría de toda memoria de las tablas estar en el mismo lugar, va a rodar ...... esta equivocado !!!!!
Necesito saber una cosa .....
Toda memoria de las tablas esta igual, pero ahora el punto de entrada del programa esta diferente, tal vez eso afecte.
En el mismo tiempo creo que el ret 0x54 es para saltar al punto de entrada de una función, que ahora está perdido.
Voy a pensar y estudiar sobre eso
Toda idea y consejo es bienvenido.
Saludos 2
|
|
|
|
« Última modificación: 7 Noviembre 2018, 06:29 am por Geovane »
|
En línea
|
|
|
|
FranFin
Desconectado
Mensajes: 50
|
Ten en cuenta que el wrapper que tiene VMPROTECT es la parte mas "debil", lo mas complejo son las maquinas virtuales que te encuentras despues.
Saludos.
|
|
|
|
|
En línea
|
|
|
|
|
| Mensajes similares |
|
Asunto |
Iniciado por |
Respuestas |
Vistas |
Último mensaje |
|
|
ASPACK PROTECT
« 1 2 3 »
Ingeniería Inversa
|
dragonballz
|
27
|
19,002
|
14 Octubre 2005, 22:35 pm
por Canelis
|
|
|
|
Unpack EXE'S
Ingeniería Inversa
|
KPOCH
|
2
|
2,947
|
15 Septiembre 2005, 00:29 am
por KPOCH
|
|
|
Protect Apps (Source)
« 1 2 »
Programación Visual Basic
|
cobein
|
18
|
6,277
|
31 Mayo 2008, 17:59 pm
por SERBice
|
|
|
|
XSS host protect
Nivel Web
|
patilanz
|
6
|
5,403
|
15 Octubre 2014, 23:34 pm
por WHK
|
|
|
|
Unpack Enigma & VM Protect.
Ingeniería Inversa
|
Geovane
|
0
|
3,450
|
16 Abril 2018, 19:52 pm
por Geovane
|
 |
