Virtual Files

Issues related to VMProtect
Post Reply
lach
Posts: 18
Joined: Sat Mar 23, 2019 1:18 pm

Virtual Files

Post by lach »

Собираюсь обновиться до Ultimate, есть несколько вопросов по нужной мне функции "Virtual Files"
- Каким образом перехватываются обращения к нужным файлам?
- Если просматриваются обращения к функциям файловой системы, будут ли работать не прямые их вызовы?
- Если VMProtect устанавливает хуки, то как я могу не устроить конфликтов своими хуками (Мой код ставит хуки на LoadLibrary(Ex)(A|W))?
Top
Admin
Site Admin
Posts: 2584
Joined: Mon Aug 21, 2006 8:19 pm
Location: Russia, E-burg
Contact:
Contact Admin

Re: Virtual Files

Post by Admin »

Каким образом перехватываются обращения к нужным файлам?
Через хуки на ntdll
Если просматриваются обращения к функциям файловой системы, будут ли работать не прямые их вызовы?
Например?
Если VMProtect устанавливает хуки, то как я могу не устроить конфликтов своими хуками (Мой код ставит хуки на LoadLibrary(Ex)(A|W))?
Мы не ставим хуки на LoadLibrary, поэтому конфликтов не будет.
Top
lach
Posts: 18
Joined: Sat Mar 23, 2019 1:18 pm

Re: Virtual Files

Post by lach »

Admin wrote:Например?
Код моего приложения написан на Rust, и тут немного по другому устроена работа со строками
Сделал мелкий проект для примера
https://github.com/CertainLach/VMProtect-Rust-Example

Обычно для передачи строки C библиотекам пишут примерно такой код:
https://github.com/CertainLach/VMProtec ... ain.rs#L12
Анализатор VMProtect такое конечно же не ожидает, и в интерфейсе этот маркер отображается как "VMProtectMarker1"

Для него маркеры нужно выносить в виде, в каком оно выглядит в C
https://github.com/CertainLach/VMProtec ... main.rs#L4
https://github.com/CertainLach/VMProtec ... ain.rs#L19
Такое уже нормально анализируется, и этот маркер отображается как должен (VMProtectMarker "Correct definition")

Вопрос был связан как раз с этим, будет ли VMProtect анализировать вызовы функций обращающихся к ФС, и заменять их на что то своё, либо он просто поставит хуки на системные, и любые виды вызовов будут работать нормально

На всякий случай кину скомпилированный код из репозитория:
Под linux: https://files.lach.pw/vmprotect/vmprote ... cc82d12cd3
Под Windows: https://files.lach.pw/vmprotect/vmprote ... eaf812ac3b
Top
Admin
Site Admin
Posts: 2584
Joined: Mon Aug 21, 2006 8:19 pm
Location: Russia, E-burg
Contact:
Contact Admin

Re: Virtual Files

Post by Admin »

Вопрос был связан как раз с этим, будет ли VMProtect анализировать вызовы функций обращающихся к ФС, и заменять их на что то своё, либо он просто поставит хуки на системные, и любые виды вызовов будут работать нормально
Я вам уже писал, что VMProtect ставит хуки только на ntdll. В любом случае вы можете проверить необходимый вам функционал с помощью демо версии.
Top
x22x22
Posts: 19
Joined: Sat Jul 20, 2019 2:33 pm

Re: Virtual Files

Post by x22x22 »

Also, virtual files decrease execution speed significantly.
Could you check this issue?
Top
Admin
Site Admin
Posts: 2584
Joined: Mon Aug 21, 2006 8:19 pm
Location: Russia, E-burg
Contact:
Contact Admin

Re: Virtual Files

Post by Admin »

Also, virtual files decrease execution speed significantly.
Yes.
Top
Post Reply

Return to “Technical questions”