Vmprotect nasıl unpack edilir?

rikutatarin

rikutatarin

Hectopat
Katılım
1 Mayıs 2020
Mesajlar
123
Arkadaşlar Vmprotect'i nasıl unpack edebilirim bu işten anlayan var mı? Dnspy ile baktım başlangıç noktası gözükmüyor yazılımın. Napacağımı da bulamadım yok mu seniorluk yapacak bana :D

İzlediğim bütün videolarda dnspy koydukları anda şak diye başlangıç noktası çıkıyor ama benim denediğim Exe'de olmuyor.
 
Son düzenleyen: Moderatör:
Kaynak kodlarına asla ulaşamazsın VM çok güçlü, şuanlık ilerde ne olur bilemem fakat VMP kaynak kodlarını okuman imkansız, fakat neden kaynak kodları gerekki gene lisansı kırabilirsin ağ okuyarak veya anti debug kırılabiliyor sannımca, string falan bir şekilde okuyabilirsin ida pro gibi vs fakat kaynak koduna erişemezsin.
 
627848 dedi:
Kaynak kodlarına asla ulaşamazsın vm çok güçlü, şu anlık ileride ne olur bilemem fakat vmp kaynak kodlarını okuman imkansız, fakat neden kaynak kodları gerekki gene lisansı kırabilirsin ağ okuyarak veya anti Debug kırılabiliyor sannımca, string falan bir şekilde okuyabilirsin ida Pro gibi vs fakat kaynak koduna erişemezsin.
Genişletmek için tıkla...

Vm çok güçlü olsa da kırılabiliyor her şeyin bir zayıf yönü vardır.
 
vmp'nin versiyon'una ve kullanılan ayarlara (preset) göre değişir. vmp'yi özel yapan şey "virtualization" ayarıdır. diğer anti debug, anti vm vb. boş özelliklerdir.

öncelikle dosyanın entry point'i dnSpy'da görünmüyorsa büyük ihtimalle native bir exe ile karşı karşıyasınız, yani daha farklı bir yaklaşım gerekiyor. dnSpy'ın ekran görüntüsünü atarsanız daha iyi yardımcı olabilirim.

ayrıca yukarıda yazılan "kaynak kodlarına asla ulaşamazsın" gibi ön yargılar doğru değildir, baya da ulaşılıyor. virtualization ayarı açık olsa bile devirtualize edip bir tür pseudocode elde etmek mümkün.
 
pwn dedi:
vmp'nin versiyon'una ve kullanılan ayarlara (preset) göre değişir. vmp'yi özel yapan şey "virtualization" ayarıdır. diğer anti debug, anti vm vb. boş özelliklerdir.

öncelikle dosyanın entry point'i dnSpy'da görünmüyorsa büyük ihtimalle native bir exe ile karşı karşıyasınız, yani daha farklı bir yaklaşım gerekiyor. dnSpy'ın ekran görüntüsünü atarsanız daha iyi yardımcı olabilirim.

ayrıca yukarıda yazılan "kaynak kodlarına asla ulaşamazsın" gibi ön yargılar doğru değildir, baya da ulaşılıyor. virtualization ayarı açık olsa bile devirtualize edip bir tür pseudocode elde etmek mümkün.
Genişletmek için tıkla...
Selam. Virtualization konusunda başka güçlü önerebileceğin program var mı? Kendi C# projem var. Themida ile sorun yaşamıyorum ama vmp basamıyorum hata alıyorum. Konu hakkında hiç bilgi de bulamadım.
 
Artık dinamik olmadan unpack edebiliyorum ben. Çok kolay iş.
Unpack edilmemiş hali: VirusTotal Unpack edilmiş hali: VirusTotal

1755847374762.png

Unpack edilmiş halinde Mimikatz diyor. Fakat edilmemiş halini sadece dinamikte görebiliyoruz.
1755847405266.png


24099 dedi:
Güncel sürümse Allah kolaylık versin, edemezsin şimdilik. Güncel sürümlerin public bir yolu yok, en azından benim gözüme çarpmadı.
Genişletmek için tıkla...
En güncel sürümünü unpack edilebilir rahatça. Eğer nasıl kırdığımı merak eden varsa HydraDragonAntivirus reposuna bakabilir ve Beta 5'i bekleyebilir. Bir sürü varyasyon olduğu için analizde baya bir bekletiyor yani saatler sonra VMProtect olduğunu anlayıp dosyayı unpack edebilir veya hızlıca yapabilir.
 
Son düzenleme:
Turkıye anlasması dedi:
Artık dinamik olmadan unpack edebiliyorum ben. Çok kolay iş.
Unpack edilmemiş hali: VirusTotal Unpack edilmiş hali: VirusTotal

Eki Görüntüle 2560526
Unpack edilmiş halinde Mimikatz diyor. Fakat edilmemiş halini sadece dinamikte görebiliyoruz.Eki Görüntüle 2560527


En güncel sürümünü unpack edilebilir rahatça. Eğer nasıl kırdığımı merak eden varsa HydraDragonAntivirus reposuna bakabilir ve Beta 5'i bekleyebilir. Bir sürü varyasyon olduğu için analizde baya bir bekletiyor yani saatler sonra VMProtect olduğunu anlayıp dosyayı unpack edebilir veya hızlıca yapabilir.
Genişletmek için tıkla...
Verdigin bilgiler dogru degil. Unpack islemi kullanilan ayardan ayara, minor versiyon bile olsa versiyondan versiyona ve eger vmprotect’in kaynak kodlari sizmadiysa analiz edilen dosyadan dosyaya degisiklik gosterir. SS olarak ekledigin exe son surum VMP ile korunmayi gec son iki yilda yayinlanan herhangi bir VMP korumasini bile kullanmiyor. Boyle garip bir ozguvenle en guncel surumun kolayca unpack edilebildigini iddia etmen cok garip acikcasi. “Unpack” ne anlama geldigini bildiginden emin misin? Guncel versiyonlari flaglemek kolay ama unpack inanilmaz derecede zor ve hala public olarak bilinen bir yontemi yok.
 
OmerSubs dedi:
Verdigin bilgiler dogru degil. Unpack islemi kullanilan ayardan ayara, minor versiyon bile olsa versiyondan versiyona ve eger vmprotect’in kaynak kodlari sizmadiysa analiz edilen dosyadan dosyaya degisiklik gosterir. SS olarak ekledigin exe son surum VMP ile korunmayi gec son iki yilda yayinlanan herhangi bir VMP korumasini bile kullanmiyor. Boyle garip bir ozguvenle en guncel surumun kolayca unpack edilebildigini iddia etmen cok garip acikcasi. “Unpack” ne anlama geldigini bildiginden emin misin? Guncel versiyonlari flaglemek kolay ama unpack inanilmaz derecede zor ve hala public olarak bilinen bir yontemi yok.
Genişletmek için tıkla...
Daha güncel örneklerde denedim ve aynı sonuç, virüs olduğunu algılıyordu imzalar. Kafanda imkansız diye kurmuşsun ama değil. Unpack ettikten sonra kaynak kodu gözüküyor rahatça. Kendi yaptığım antivirüste bu unpack yöntemi var. Her şeye imkansız diyerek ilerleyemezsin. Karşında Nuitka'yı bile çözmüş birisi var.
 

Benzer konular

Arıcan
Themida ile obfuscate edilmiş program nasıl unpack yapılır?
Mesaj
2
Görüntüleme
2.106
UlughBeg
UlughBeg
2
  • Makale
Rehber  UPX Manuel Unpacking - Packer Nedir, Nasıl Çalışır?
2 3
Mesaj
28
Görüntüleme
9.743
Turkıye anlasması
T
Kernel60Hz
Smartassembly unpack eden program önerisi
Mesaj
2
Görüntüleme
1.158
255658
2
S
"Themida/Winlicense 2.X (heuristic)" unpack?
Mesaj
8
Görüntüleme
2.313
sj0
S
Alucard Hellsing
Jar dosyaları nasıl decompile edilir?
Mesaj
2
Görüntüleme
4.420
Alucard Hellsing
Alucard Hellsing

Technopat Haberler

Yeni konular

Yeni mesajlar

Geri
Yukarı