|
Título: VMProtect pregunta deteccion Publicado por: josue9243 en 25 Diciembre 2018, 17:56 pm Hola, queria preguntar que pasa con VMProtect, les comento el caso, estoy desamblando cierto programa QUE SI TIENE VMPROTECT, el tema:
Al utilizar el VMProtect Ultra Unpacker v1.0, funciona correctamente si en el Phant0m coloco la opcion de HIDE PEB, pero si coloco esta opción no puedo dumpearlo porque en programas externos no aparece, ni en scylla ni en imprec. El script lo pide en StrongOD pero la coloco y a la hora de darle a run, salta el cartelito de que se detecto un debugger. Alguien que sepa que hacer?, estaba pensando injectar una dll atras de esa y ocultar el peb y a la hora de dumpearlo relinkear el peb pero es otro temita con ollydbg... Si alguien me puede ayudar :$ Título: Re: VMProtect pregunta deteccion Publicado por: Geovane en 25 Diciembre 2018, 18:06 pm .
Título: Re: VMProtect pregunta deteccion Publicado por: josue9243 en 25 Diciembre 2018, 18:18 pm Uh si me olvide de poner el windows jajaj:
Windows 7 32 bits Ultimate. Título: Re: VMProtect pregunta deteccion Publicado por: Geovane en 25 Diciembre 2018, 18:33 pm .
Título: Re: VMProtect pregunta deteccion Publicado por: MCKSys Argentina en 25 Diciembre 2018, 20:24 pm Hola!
Según recuerdo, el script de VMProtect viene con un video que enseña cómo usarlo. Es recomendable mirarlo. Por otro lado, el usar scripts es sólo para automatizar cosas repetitivas. Hay que conocer el packer y estudiarlo para poder reventarlo como se debe (Si les da un poco de f1aca, siempre pueden mirar cómo está hecho el script para entender qué es lo que hace :P). VMPortect es uno de los más difíciles, pero también uno de los más atacados. Saludos! PD: Dejo 2 links interesantes: 1 de un paper y otro de la tool a la que hace referencia el mismo. Recomiendo leer el paper: paper: https://faculty.ist.psu.edu/wu/papers/vmhunt-ccs18.pdf (https://faculty.ist.psu.edu/wu/papers/vmhunt-ccs18.pdf) tool: https://github.com/s3team/VMHunt (https://github.com/s3team/VMHunt) |