Почему не работает скрипт для распаковки vmprotect?

Question

[Ternick]

Я скачала скрипт "VMProtect 1.xx - 2.xx Ultra Unpacker v1.0".
И там в архиве были приложения для теста.
И при попытке его распаковать скрипт останавливает свою работу на 4840 строке.

Что может быть не так, то ?

Comments

[pfemidi]

Он не останавливает, там же написано что "Process terminated". Что-то не срабатывает видать. Или ложно срабатывает. Может быть там какая-нибудь защита от отладки, может ещё чего подобное. Может быть этот скрипт не способен корректно работать без помощи плагинов PhantOm и StrongOD или аналогичных... В общем экстрасенсы затрудняются ответить ;-)

[Ternick]

pfemidi, Это обычный анпакМе который идёт с этим скриптом в коробке там нет никакой защиты ВООБЩЕ кроме vmprotect. И там стоят все скрипты которые должны стоять и настроены так как и должны быть настроены !

[Ternick]

pfemidi, И ДА Я УСТАНОВИЛ ТЕ 2 ПЛАГИНА И НАСТРОИЛ ИХ КАК ТАМ НАПИСАНО !

[pfemidi]

Ternick, тогда может быть этот скрипт заточен на другую версию vmprotect.

[Ternick]

pfemidi, Тогда где логика со скриптом ложить unpackme если версии не совпадают, это уже бред + там есть видео в которых показывается что и как делать :) Я с пытался распаковать самый простой unpackme и скрипт виснет и останавливается на run и так на любом приложении !

[pfemidi]

Я скачал именно этот скрипт "на посмотреть". Какой конкретно UnPackMe.exe из примеров не распаковывается? Их там потому что несколько.

[Ternick]

pfemidi, VMProtect 1.8 AL Manually
И там где то в видео которые в exe упакованные есть гайд как его распаковать.

[Ternick]

pfemidi, Ну как ?

[pfemidi]

У меня это вообще не работает, у меня под виртуалкой x86_64, а надо чтобы было просто x86. Живого Windows у меня нет и не будет никогда, а переустанавливать на виртуалку x86 мне лениво. Так что sorry.

[pfemidi]

Ternick, скрипт прекрасно работает и всё распаковывает. Я проверял именно на "VMProtect 1.8 AL Manually" из комплекта этого скрипта. Установил в виртуалке Windows XP SP3 и проверил. Чтобы не быть голословным даже записал видео как этот скрипт распаковывает этот "VMProtect 1.8 AL Manually".

Вот видео в формате mp4 (14 мегов)
Вот на всякий случай то же самое видео в формате avi (82 мега) если вдруг почему-то mp4 не будет показываться.

Скрипт прекрасно отрабатывает, ни на какой строке 4840 не останавливается и полностью распаковывает этот UnPackMe.exe из каталога "VMProtect 1.8 AL Manually".

[Ternick]

pfemidi, Ок, спасибо. Видимо мне нужно будет нарыть комп на xp :)
Вот будет ностальгия :)

[pfemidi]

Ternick, на Windows Seven 32 тоже прошло на ура. На Windows Seven 64 не проверял, а Windows 8 и Windows 10 у меня физически нет ни живых, ни виртуальных и установить неоткуда, я Windows старше семёрки вообще никогда в живую не видел, только на картинках.

[Ternick]

pfemidi, Как же я вам завидую :)

[pfemidi]

Ternick, а вот на Windows Seven 64 не прошло. Но не скрипт виноват, сам vmprotect просёк что его трассируют и вывел окно с надписью что обнаружен отладчик, дальше он работать не будет и завершился. Так что надо однозначно 32-хбитный Windows и чтобы или XP, или Windows Seven. За 8 и 10 уже ничего не скажу.

[Ternick]

pfemidi, Ну я с самого начала тупанул и установил sp1 x64 (скрипт работал, но приложение видело что его дебажат и показывало об этом уведомление).
Потом увидел что sp 1 и установил sp3 x32 (не нашёл x64).
И как только в ollydbg перетаскиваю .exe и оно пытается загрузить что то и крашиться.
И я внимательно рассматривал видео пример распаковки и автор использует не ollydbg, а какую то странную версию этого дебагера (которую я так и не нашёл).

[pfemidi]

Ternick, у LCF-AT патченый ollydbg, не оригинальный. Я проверял на оригинальном.

[Ternick]

pfemidi, А где бы такой дебаггер найти ? Такой же как у него ?

[pfemidi]

Ternick, где-то на tuts4you была ссылка. Но у меня и со стандартным работает.

[Ternick]

pfemidi, Ясно.

[pfemidi]

Ternick, модификация от LCF-AT вроде как называется Olly Grn. И LCF-AT вообще-то баба, так что не "такой же как у него", а "такой же как у неё" ;-) Вот где найти не знаю.

[Ternick]

pfemidi, Буду знать :)

[Ternick]

pfemidi, Olly Grn не нашёл, но нашёл это https://forum.tuts4you.com/topic/25782-snd-23/.

[pfemidi]

Ternick, специально сейчас скачал OllyDbg 1.10 с оригинального сайта автора вот отсюда и ещё раз прогнал именно его и на WinXP, и на Windows Seven 32. Всё работает и там, и там.

[Ternick]

pfemidi,
win xp sp 3 x 32 и олли дебагер в первом окошке с вопросом написал ещё 2600, даже не знаю что это.

[pfemidi]

Ternick, так. Давай я сейчас скажу что у меня, весь софт. Может быть дело в настройках каких?

Вот какая у меня версия OllyDbg, взята с официального сайта автора, без всяких переделок snd, gRn и прочих:



Вот какие плагины у меня установлены:



Вот какие у меня настройки плагина PhantOm:



Вот какие у меня настройки StrongOD:



И запускаю я это всё из-под администратора, а не обычного пользователя. WinXP 32 SP3, всё работает.

[Ternick]

Всё сделал так же как и вы и появилось это :(

Путь к .dll указан верно.

[pfemidi]

Ternick, там в тексте распаковочного скрипта бага -- путь на ARImpRec.dll указывается дважды. Первый раз где-то в самом начале скрипта, а второй раз переменная, содержащая путь, переписывается совсем другим значением. Вот этот второй mov надо просто закомментировать и всё. Ну или сделать так, чтобы в переменную заносился правильный путь на ARImpRec.dll

[Ternick]

pfemidi, Спасибо, я бы не догадался, глянуть ещё и в конец.

[pfemidi]

Ternick, не за что! Когда у меня возникло такое же я просто посмотрел в какой строке скрипта это вылезло, с лёгкостью нашёл это второе присваивание пути к ARImpRec.dll, исправил, перезагрузил программу и скрипт и в этот раз всё прошло нормально. Думал что это очевидно и упоминать поэтому не стал.

Значит с настройками PhantOm и StrongOD как у меня больше не жалуется на то, что обнаружен отладчик? Значит дело было всё-таки в настройках?

[Ternick]

pfemidi, Да, лучше не трогать те настройки, они лишний раз показывают наличие дебагера :)

[pfemidi]

Ternick, не всегда. Данные настройки подходят для того чтобы vmprotect ничего не заподозрил, но для, к примеру, Themida нужны другие настройки (проверено, я ковырял эту Themida). Зато при тех настройках при которых Themida не замечает что она под отладчиком vmprotect прекрасно определяет что его трассируют. Так что тут "каждому овощу свой фрукт!" ;-) опытным путём надо определять и выставлять свои специфические для более-менее серьёзных защит.