VMBE2 (Indy)

X-Shar · 15.11.2014

Virtual Machine Bypass Engine 2.1.

Движок от Indy.

Сей мотор невозможно проэмулить никакими АВВМ.

Пароль:vx

Вроде masm, ещё не смотрел, нашёл кстати здесь-же:https://ru-sphere.ru/threads/delaem-kriptor-vmeste.1928/page-4#post-108097

Решил создать отдельную тему, может кто-ещё ищет, а-то ссылки везде нерабочии... NO-no!!!

X-Shar · 15.11.2014

Блин забыл добавить, кто будет с ним прикалываться, зайдите сюда:

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

Эта тема автора, там можно кое-какую полезную инфу почерпнуть ! My mind

Nedovirus · 17.11.2014

именно про эту хреновину я намекал в секте симантека, где говорил, что если кому охота поговорить о крипторах - идите к инди и он покажет как о них надо говорить. он реально крут в этом деле, очень.

X-Shar · 17.11.2014

Nedovirus сказал(а):
если кому охота поговорить о крипторах - идите к инди и он покажет как о них надо говорить

Ога предложение явно с подвохом... Dmeh-Smeh-Smeh!!!

Там с пиплом явно не церемонятся, чо-нить не-то сказанул, сразу выливают ведёрку гавневца + бан...

Можно-было им пожелать ещё сюда зайти поболтать:

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

Чувствую живыми-бы они от туда не вышли... Отдыхай!!!

А если серьёзно, если разговаривать с Инди, нужно очень хорошо разбираться в этом всем, а таких спецов не-так много, даже не сколько спецов в ассемблере, сколько нужно именно знать устройство и работу АВ, сам ассемблер относительно не сложно по моему мнению изучить, вот сколько там комманд 20-25 может больше, но не намного, а вот научится всё это реально использовать, это уже искусство... WinkSmile

Я лично пока понял про движок только это:

Почему VMBE обламывает АВВМ - АВВМ не может работать динамично с кодом не из нашего модуля, код этот там есть только потому что он там статично впилен и определяется есно по обращению к API. Как доказательство, можно взять свою дллку с диска, или системную (но при этом у АВВМ не должно быть ее прототипа, по этому, если и брать системную, то малоизвестную), подгрузить ее, что-то выполнить и проверить результат, сие проэмулено никогда не будет.

Ну, а посколько куски например ntdll кода у АВВМ таки есть, то там только образ с диска (даже не промаплен, а впилен статично, причем еще не с какой-то системы, а подшлифованный, оптимизированный!). Вот и получается, что обращение к известной API если есть, то АВВМ подсовывает свой буфер (собсно из того же статично впиленого образа), и если он совпадает с ожидаемым и является простым, то и получается, что эмулится, ну стоит взять API по сложнее, которая работает динамично, вызывает сисколл, да еще и с абсолютными адрессами - есно будет фейл.

Nedovirus · 17.11.2014

X-Shar сказал(а):
Ога предложение явно с подвохом...

конечно, и еще с каким! sda и иже с ним были б там мгновенно забанены за нубство, именно потому их и пытался туды послать Dmeh-Smeh-Smeh!!!

Indy · 21.01.2015

Эмулятор останавливается при обнаружении обращения к неизвестному ему ресурсу. Авер хитёр и использует сигнатуры для эмуляции апи. Мотор трассирует системный код, это приводит к остановке эмулятора например при обращении к приватным переменным, в случае если код реальный. Для виртуального кода с сигнатурами апи необходим ввод критерия, который отличает виртуальный код от реального.

Indy · 21.01.2015

были б там мгновенно забанены за нубство

Не за нубство, а за отсутствие здравого смысла и стремления к нему. Важно не сколько комрад знает, а способность его и тяга к обучению.

Nedovirus · 21.01.2015

в общем не за одно, так за другое )))))))

Антоха · 26.01.2015

Да простит мне Indy этот дикий копипаст...
Ещё пара тулз от Indy (в которые,как правильно выразился Nedovirus,можно потыкать палочкой).

Indy =Clerk=DrOp сказал(а):
GPE/GCBE движки. Позволяет определять размер функций, выделять их по NL, находить начало функций, выполнять анализ, перенос в памяти(морфинг) и многие другие задачи, которые сводятся к созданию, анализу и сборке графа.
В аттаче двиг, он немного изменён(одна инструкция добавлена) для возможности поиска инструкции по адресу в первичном графе.

Indy сказал(а):
o x86, KM, MI, KDR; откат на 5.1, 6.1; недетект всяким аверским говном.

Пиздатый мотор для дебага всякой юзермодной погани. Теперь не нужно юзать ядерный дебаг, чтобы всякая хуита не вышла из под отладки. Возможность выбора сервисной таблицы.
Отлавливаются все сисколы в системе, редирект в юзермод, там наш фильтр их обрабатывает и вертает управленье в юзермод.
Возврат из ядра на адрес PEB[0xFFC], флаг по тому же смещенью в TEB запрещает обработку(по дефолту сброшен, тоесть пропускается).
При возврате имеем в rEax номер сервиса, на стеке:

Код:

FSTATE struct Ip PVOID ? Args PVOID ? FSTATE ends

О рутките подробнее можно почитать

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

.Загрузчик из памяти(LWE) мне не удалось содрать .

X-Shar · 27.01.2015

Антоха сказал(а):
О рутките подробнее можно почитать
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
.Загрузчик из памяти(LWE) мне не удалось содрать .

Минут двадцать потратил почитал весь топик, интересно, кое-что для себя нового узнал (В частности что такое Шадов), а exelab.ru это-же кряклаб, я знал про этот ресурс но что-то особо не вникал что там такое делается, наверное зря, похожу может ещё-что почитаю...

Такое ощущение что ресурс полузаброшен, в роде интерес у посетителей есть, я-бы несказал что он мёртвый... WinkSmile

Обратная связь

(info@ru-sfera.pw)

Важная информация для всех!

VMBE2 (Indy)

X-Shar

:)

Вложения

X-Shar

:)

Nedovirus

Уважаемый пользователь

X-Shar

:)

Nedovirus

Уважаемый пользователь

Indy

Уважаемый пользователь

Indy

Уважаемый пользователь

Nedovirus

Уважаемый пользователь

Антоха

Уважаемый пользователь

Вложения

X-Shar

:)