VTIL

Issues related to VMProtect
00p$
Posts: 27
Joined: Thu May 09, 2019 8:20 am

VTIL

Post by 00p$ »

https://github.com/vtil-project/VTIL-Core

будет контр-обнова?
Admin
Site Admin
Posts: 2566
Joined: Mon Aug 21, 2006 8:19 pm
Location: Russia, E-burg
Contact:

Re: VTIL

Post by Admin »

Проект интересный, но практическая польза равна нулю. Аффтар, по имени Can Bölük, наверное уже догадался, что его проект "ломается" простейшим циклом, результат которого используется в дальнейшем в качестве непрозрачного предиката/адреса перехода (хоть в нативе, хоть в VM).

Code: Select all

mov eax, 1
xor ecx, ecx

loop:
cmp ecx, 100000000
jz @end_loop
inc eax // or something like this
inc ecx
jmp @loop

end_loop:
add eax, XXXXXX
jmp eax
Время "оптимизации" с увеличением верхней границы цикла стремится к бесконечности.

P.S. Обнова конечно будет.
a47
Posts: 21
Joined: Tue Mar 27, 2018 10:31 am

Re: VTIL

Post by a47 »

Судя по всему, автор имеет необходимые фиксы, тк с помощью его девиртуализатора уже был уничтожен известнейший античит battleye https://secret.club/2020/07/06/bottleye.html
Так что назвать практическую пользу втила нулевой сложно
00p$
Posts: 27
Joined: Thu May 09, 2019 8:20 am

Re: VTIL

Post by 00p$ »

a47 wrote:Судя по всему, автор имеет необходимые фиксы, тк с помощью его девиртуализатора уже был уничтожен известнейший античит battleye https://secret.club/2020/07/06/bottleye.html
Так что назвать практическую пользу втила нулевой сложно
абсолютно верно. до обновы виртуализация практически бесполезна. надеюсь скоро поправят. rip battleye.
00p$
Posts: 27
Joined: Thu May 09, 2019 8:20 am

Re: VTIL

Post by 00p$ »

00p$
Posts: 27
Joined: Thu May 09, 2019 8:20 am

Re: VTIL

Post by 00p$ »

dudualfa
Posts: 12
Joined: Tue Mar 03, 2015 2:52 pm

Re: VTIL

Post by dudualfa »

Here is another project that helps devirt VMP: https://github.com/0xnobody/vmpattack
Hope you can work on something to make it harder to devirt soon.
orwell
Posts: 4
Joined: Fri May 08, 2015 11:37 am

Re: VTIL

Post by orwell »

Иван, добрый вечер. Есть новости по этому вопросу, когда ждать обновления? Проблема серьёзная, исходный код программы для "де-виртуализации" приложений уже в открытом доступе.
JackGrenness
Posts: 10
Joined: Wed Jan 16, 2019 10:54 am

Re: VTIL

Post by JackGrenness »

orwell wrote:Иван, добрый вечер. Есть новости по этому вопросу, когда ждать обновления? Проблема серьёзная, исходный код программы для "де-виртуализации" приложений уже в открытом доступе.
Поддерживаю.

Хотелось бы видеть хотя бы небольшой патч, где пофикшены публичные методы девиртуализации (по ссылкам, что разместил пользователь "00p$ ").

Либо рекомендации по их самостоятельному фиксу (рассылка для обладателей платной версии).
YouBestClient
Posts: 14
Joined: Tue Mar 17, 2020 8:47 am

Re: VTIL

Post by YouBestClient »

так же интересует вопрос, когда апдейт?
YouBestClient
Posts: 14
Joined: Tue Mar 17, 2020 8:47 am

Re: VTIL

Post by YouBestClient »

опубликовал способ обхода vmprotect последней версии под максимальной защитой протектора + автоматический скрипт https://yougame.biz/threads/154142/
tmp
Posts: 6
Joined: Sun Sep 06, 2015 8:55 pm

Re: VTIL

Post by tmp »

Another VTIL-based tool, targetting import protection this time: https://github.com/0xnobody/vmpdump. I know that packing, protecting imports, anti-dumping, memory protection, etc. are not a primary features of VMP but as others have pointed out, there are much bigger open issues right now.

VTIL itself and public devirtualization tools are now freely available, significantly lowering the bar for any potential attacker. Can you provide any information/statement regarding this issue and future updates to fix this problem? This is probably the biggest threat that VMP faced in a while and I think it deserves attention.
YouBestClient
Posts: 14
Joined: Tue Mar 17, 2020 8:47 am

Re: VTIL

Post by YouBestClient »

AlexB wrote:
VTIL itself and public devirtualization tools are now freely available, significantly lowering the bar for any potential attacker. Can you provide any information/statement regarding this issue and future updates to fix this problem? This is probably the biggest threat that VMP faced in a while and I think it deserves attention.
Ivan mentioned in the post above that there will be an update.
I agree that VTIL is a potential threat, but have you tried a tool on your target? It seems there are a lot of corner cases, which are not supported by a NoVMP tool at the moment. I think current devirt tool still require good RE skills and knowledge of the vmp internals.
Проблема заключается в том, что с данным инструментом понижается требуемый уровень профессиональных знаний в реверсе (моё мнение).
Master
Posts: 21
Joined: Thu May 12, 2011 9:23 am

VTIL

Post by Master »

YouBestClient wrote:Проблема заключается в том, что с данным инструментом понижается требуемый уровень профессиональных знаний в реверсе (моё мнение).
Ты же умный - наверни свою кастомную обфускацию перед вмп, например. Если так ссышься за свой софт. Лично я не парюсь пока
YouBestClient
Posts: 14
Joined: Tue Mar 17, 2020 8:47 am

Re: VTIL

Post by YouBestClient »

Master wrote:
YouBestClient wrote:Проблема заключается в том, что с данным инструментом понижается требуемый уровень профессиональных знаний в реверсе (моё мнение).
Ты же умный - наверни свою кастомную обфускацию перед вмп, например. Если так ссышься за свой софт. Лично я не парюсь пока
Будьте любезны не переходите на личности.
Вы можете сказать где можно приобрести кастомную обфускацию за доступные деньги (пишите в личные сообщения)?
Post Reply