bilka00
и по аргументах смотреть алгоритм
Мы делаем вывод что в большенстве случаев малвареписатели
Погодь, так что за ЭЦП у него? Что-нибудь типа крипто-про?
bilka00
bilka00
идет только для самых самых простых виртуалок
bilka00
написаных на коленке за пару часиков
KosBeg
возможно, я о нём только слышал, и особо не вникал в него
bilka00
Ты мне в общем скидываешь, а я у тебя конкретный тип ЭЦП спрашиваю.
мой знакомый покупал EV серт и подписывал вполне обычный софт
bilka00
покупал вроде у сымантеков но могу оибаться ибо не вникал
bilka00
А) не умеют его использовать
Недавно тыкал софт который на голову выше любого софта под вмп даже без вмп
KosBeg
чё за дерьмо?
http://senselock.ru/projects/senselock-vmprotect.php
тоже форк вмп?
bilka00
тоже малварь
bilka00
и очень проблемная
Anonymous
где вы их находите
мой знакомый покупал EV серт и подписывал вполне обычный софт
А, обычный серт... Я думал что-то типа как в госраспилках.
bilka00
в моем случае мне просто скинули покурить ^)^
bilka00
чё за дерьмо?
http://senselock.ru/projects/senselock-vmprotect.php
тоже форк вмп?
Я бы не сказал что форк
bilka00
Но мне кажеться что это хардверная защита
bilka00
разве нет?
KosBeg
привязки вроде нет, только уникальный логин-пароль
KosBeg
не дай бог иду таким будут накрывать 😅
KosBeg
*тут Ильфака нет? 🌝*
bilka00
>Hi there!
We were informed that there are open questions and some uncertainty about the use of our software by DENUVO GmbH.
Referring to this circumstance we want to clarify that DENUVO GmbH had the right to use our software in the past and has the right to use it currently as well as in the future.
In summary, no open issues exist between DENUVO GmbH and VMProtect Software for which reason you may ignore any other divergent information.
bilka00
Кстати из сайтца вмп )
KosBeg
читал, последняя новость
KosBeg
ладно, как я понял с вмп лучше не связываться)
bilka00
Не
bilka00
он интересный на самом деле
Anonymous
вы отключали проверку целостности на файле с вмп?
KosBeg
Больше всего доставила проверка целосности VMP3
KosBeg
где нужно по факту просто перенаправить инструкции одну на оригинальные заголовки и возвратить -1 при CreateFile на себя
KosBeg
KosBeg
кто-то не внимательно читает
Anonymous
я видел это, хотел как раз поговорить
bilka00
на любых версиях
bilka00
она как бы дно
bilka00
)
Anonymous
проверяет только заголовки??
bilka00
но по факту лучше нигде нет
bilka00
ибо в Enigma патч в 1 байт
bilka00
а в Themida в 4 байта
KosBeg
хаха, дно, но лучше нет 😅
bilka00
целосность кода тоже
Anonymous
Так
bilka00
хм
Anonymous
если CreateFile вернёт инвалидный хэндл, то проверяет только заголовки?
bilka00
Неа
bilka00
есть еще сканер памяти
Anonymous
тогда вообще не понял фразу выше
bilka00
1) чекаеться загруженый образ из памяти и вначале чекаються именно заголовки
bilka00
2) CreateFile->CreateFileMapping чекаеться целосность файла
Anonymous
и что предлагаете после CreateFileMapping подменить данные?
bilka00
3) Проверяеться все еще сканером памяти в левом потоке
bilka00
неа
bilka00
Убить сканер памяти не сложно
bilka00
давай начнем с ВМП 2.хх
bilka00
Там ты возвращаешься CreateFile(На себя) -1
bilka00
И просто перенправляешь один из j** к себе в секцию которую ты создал
bilka00
остальное не чекаеться
bilka00
все можешь делать все что хочешь
bilka00
(к примеру дождаться разпаковки кода всего в левом потоке и запатчить
bilka00
ВМП 3.хх
bilka00
Тут немного сложней и есть два метода один 100% но требует патча вм второй проще но почему то работает через раз
bilka00
https://pastebin.com/k3VYuaa4
bilka00
Первый способ
Anonymous
про патч вм интересно
bilka00
тот что попроще но не всегда работает
Anonymous
fpCreateFileW(L"Lol sasai"
Anonymous
=)
bilka00
возвращаем -1 и сбиваем проверку если сканер офнут
bilka00
в ини файл ложим число которое есть оригинальным количеством секций
bilka00
все защиты нету