VMProtect Software » Forum

Сейчас в аську стукну

Так, теперь по коду, у нас есть три участка производящие вызов в ядро. 1. через WOW64 2. через sysenter для XP и выше 3. через INT 2E для W2K (в принципе это устарело - не рассматриваем, работает так же как и sysenter) общий код для всех трех переходников одинаков, это инициализация параметров вызов...

До работы доеду, распишу более подробно.
А этот код отрабатывает на 64 битных системах, переходник на wow64 шлюз

Да, но адрес возврата для sysenter это как раз вот этот пресловутый lea+push

В любом случае я бы предложил вынести вызов sysenter/int2e в отдельную функцию: Так это же ничего не даст, ошибка, как вы сами сказали, в адресе обработчика финализации, а не в вызове sysenter. Да и еще, этот адрес размещенный на стеке, на него прыгает код из ядра после выполнения (т.е. он нужен дл...

У него помечались куски кода которые нужно было виртуализировать. выглядело как {$I crypt_xxx.inc} внутри было 4 ничего не делающих джампа: asm db $EB, $06, $EB, $FC, $EB, $FC, $FF, $F8 end; при покрытии он искал эти метки и виртуализировал код между ними. У вас за это отвечают ваши внутренние апи. ...

Тогда еще вопрос, получается что мне при каждой сборке придется ручками помечать все такие внешние адреса, дабы не происходило падение. А есть ли вариант это как-то оптимизировать на основе меток (код я вам прислал). В частности возьмем рассмотренный Вами выше код: lea eax, @FINALIZE push eax push e...

спасибо, понял, проверю

https://dl.dropboxusercontent.com/u/70911765/vmprotect_test.zip исходник, бинарник, map и VMP Единственный нюанс - не заработает если стоят антивирусы сплайсящие точки входа у используемых АПИ (DrWeb к примеру) и на Windows 10 64 бита. В этом случае я не смогу получить чистые SDT индексы, поэтому лу...

Понял, тогда следующий вопрос, планируются ли доработки вызова внешних фукнкций осуществляемых из виртуальной машины посредством: sysenter/int 2E/ PUSH ret_addr + push call_addr+ ret/ call FS:[0xC0] {WOW64}, ну или обычный PUSH ret_addr + JMP call_addr сейчас это не работает, как я понял неверно вос...

Еще, забыл момент. Демоприложение собиралось со всеми отключенными опциями (защита памяти etc) проверялась только работа самого механизма защиты. Под виртуалкой (ХР2 32 в среде от Парралелей) приложение закрывается сразу после появления сообщения о том, что защищено демонстрационной версией. (в отла...

Все становится интересней. Сейчас попросил покрыть тот-же проект у человека с легальной VMProt 3.0.5. Мутация вообще не произведена: Т.е все оставлено в том виде как и было CPU Disasm Address Hex dump Command Comments 008AA311 55 PUSH EBP 008AA312 8BEC MOV EBP,ESP 008AA314 A1 C0D74D00 MOV EAX,DWORD ...

Ну и тоже по виртуальной машине. этот-же код накрытый через MAP файл: procedure Foo0; begin Writeln('ххх'); end; виртуализация: всего 38 уникальных обработчиков, общее число циклов VM 435 виртуализация + мутация: всего 94 уникальных обработчика, общее число циклов VM 1001 виртуализация + мутация + п...

Тестирую сейчас демоверсию, в частности посмотрел что из себя представляет морф кода без виртуализации. В самом простейшем примере получилось что добавляются всего лишь мусорные инструкции: .vmp2:0056FCBD sub_56FCBD proc near ; CODE XREF: sub_418860j .vmp2:0056FCBD push ebp .vmp2:0056FCBE cwd ; мусо...