bilka00
там уж чекать нужно
Anonymous
в этом коде будет проверять регистр EDX, если он будет указывать на нужный нам диапазон, то мы можем подменить байт в регистре ECX на нужный нам и копировать весь заголовок и всю секцию получается не надо
bilka00
так я не говорил всю секцию
bilka00
но заголовок прийдеться весь
bilka00
ибо он весь чекаеться а дабы свой код дописать нужна еще одна секция которая тоже должна быть в заголовке
Anonymous
я предлагаю составить таблицу адрес-байт, если адрес совпадает, то просто заменять байт. мы ведь не весь заголовок правим?
bilka00
хех
bilka00
посмотри патч мой что я кинул
bilka00
pushfq
cmp eax, 0x6414471b
jne short @L00000001
cmp dx, 0x3600
jne short @L00000001
mov eax, 0xbf148954
jmp @L00000009
@L00000001:
cmp eax, 0xb6a8d41
jne short @L00000002
cmp dx, 0x178
jne short @L00000002
mov eax, 0xbe90d49
jmp @L00000009
@L00000002:
cmp eax, 0x58d2c573
jne short @L00000003
cmp dx, 0x1c8
jne short @L00000003
mov eax, 0x721ac2d1
jmp @L00000009
@L00000003:
cmp eax, 0x51c4c13b
jne short @L00000004
cmp dx, 0x3add
jne short @L00000004
mov eax, 0xabdf4f10
jmp short @L00000009
@L00000004:
cmp eax, 0xd2d18107
jne short @L00000005
cmp dx, 0x74da
jne short @L00000005
mov eax, 0x41274134
jmp short @L00000009
@L00000005:
cmp eax, 0x64153af6
jne short @L00000006
cmp dx, 0x150
jne short @L00000006
mov eax, 0xe4153af6
jmp short @L00000009
@L00000006:
cmp eax, 0x10c14f44
jne short @L00000007
cmp dx, 0x178
jne short @L00000007
mov eax, 0x10c2cf4c
jmp short @L00000009
@L00000007:
cmp eax, 0x58d2c573
jne short @L00000008
cmp dx, 0x1c8
jne short @L00000008
mov eax, 0x721ac2d1
jmp short @L00000009
@L00000008:
cmp eax, 0xa76342ec
jne short @L00000009
cmp dx, 0x3b8
jne short @L00000009
mov eax, 0x6f7f42ec
jmp short @L00000009
@L00000009:
popfq
bilka00
это мой старый патчик
bilka00
я ловил момент сохранения хеша
bilka00
брякал
bilka00
сохранял все хеши
bilka00
(ну не все а около сотни на хидеры)
bilka00
После патчил на новую секцию
bilka00
И опять ловил хеши и на лету их подменял на оригиналы
bilka00
сравнивал и генерил вот такой патч
bilka00
(даже скрипты есть где то под все это)
bilka00
Ты хочешь такой же принцип с хидерами?
bilka00
без проблем автоматизируй и юзай
bilka00
Реверс на то он и реверс что всегда существуют другие пути
bilka00
Блин чот я сегодня разговорился и слишком добрый на инфу
bilka00
Anonymous
я понимаю, ностальгия
Anonymous
я тебе подарок хочу сделать
Anonymous
сейчас залью старый вмпрот, где ещё нету обфускации и можно посмотреть на все прелести вм в ещё чистом виде
KosBeg
и мне, тоже хочу посмотреть, ибо мне тут пока мало что понятно, нет у меня ещё столько знаний 😅
bilka00
у меня такого нету
Anonymous
https://mega.nz/#!dCQ10CqT!MDSSal0phcfstD8dH9Biqnv2ldvWtYsfynhgfVy4cNs
Anonymous
там ещё адрес для обработки нужно вручную вводить))
Anonymous
https://mega.nz/#!tOpDFSyI!ZBCzRzgXI-QwvWXhgnipk_PPkxP4BgfOHK22d8Mc374
Anonymous
это блокнот под этим вмпротом
Anonymous
можно сразу насладиться отладкой вмпрота без обфускации
Anonymous
01018883 8F0487 POP DWORD PTR DS:[EDI+EAX*4] ; 000CFF94
bilka00
впрочем будет бесполезно если там бесполезная виртуалка)
Anonymous
сначала оно сохраняет регистры в свой стек
Anonymous
которые пушаются перед запуском вм
Anonymous
01018ABC 56 PUSH ESI
01018ABD 53 PUSH EBX
01018ABE 50 PUSH EAX ; kernel32.BaseThreadInitThunk
01018ABF 9C PUSHFD
01018AC0 57 PUSH EDI
01018AC1 51 PUSH ECX
01018AC2 55 PUSH EBP
01018AC3 52 PUSH EDX ; notepad_.<ModuleEntryPoint>
01018AC4 51 PUSH ECX
Anonymous
эта виртуалка показывает как устроен вмпрот
Anonymous
если с ней разобраться, то новые версии тоже можно разобрать, но там нужен будет трейсер, чтобы очистить мусор
Anonymous
или эмулятор писать, если дохрена желания есть
KosBeg
https://mega.nz/#!dCQ10CqT!MDSSal0phcfstD8dH9Biqnv2ldvWtYsfynhgfVy4cNs
I like it!
спасибо, тут даже я разберусь уже
Anonymous
и ещё один маленький плюс
Anonymous
в этой версии нету проверки црц
Anonymous
можете накрывать свои поганчики без хлопот))
KosBeg
кстати... она накрыта UPX"ом, а под ним ничего нет...
и написана прога не делфи.
тоесь IDR в руки и пошёл! 😅
Anonymous
=))
Anonymous
я уверен, что сама суть вм сильно не поменялась в новой версии
Anonymous
ну добавил чел обфускации и пилит поддержку новых команд, фиксит баги
Anonymous
тоже надо работать
Anonymous
пилим дружно декомпилятор)))
bilka00
хм
KosBeg
для вм? ;)
bilka00
я бы подумал о декомпилере
bilka00
Но боюсь у нас могут быть слишком разные средства для анализа
Anonymous
ну)
́🇷🇺
denuvo?
bilka00
Кстати да это исходная виртуалка денуво по факту будет )
KosBeg
Но боюсь у нас могут быть слишком разные средства для анализа
ты что-то сильно приватное юзаеш?
bilka00
неа
bilka00
x64dbg
bilka00
приемущественно последних версия
bilka00
)
KosBeg
KosBeg
тоесть меньше мб чистого кода
KosBeg
вполне можно разобрать
KosBeg
тоесть меньше мб чистого кода
примерно полмегабайта, весь файл 1,2мб, половина - рантайм, половина - код и данные.
я нашёл чем буду занят до конца лета 😄
Anonymous
в новой версии вмпрота поменьше обфускации
Anonymous
я думаю антивирусы палят выход и он уменьшил обфускацию вм. сама суть вм таже, возможно основная обфускация в байт-коде
Eba настрочили... В общем:
"wasm — это эффективный низкоуровневый исполняемый в браузере байт-код. Проект находится в экспериментальной стадии и относится к группе современных многообещающих веб-технологий."
А я всегда думал, бля, что васм -- это Windows ASseMbler...
Vitaliy ◀️TriΔng3l▶️
Web же
KosBeg
Processor
WebAssembly, добавлено в список дел "попробовать"
http://av-assembler.ru/asm/afd/start-asm.htm
Я с васм'а когда-то начинал, а теперь из-за регрессивных "вэб паграмистаф" стыдно упоминать WASM...
🦥Alex Fails
вот да, из-за вебни слово "васм" стало каким-то не таким