Почему не работает скрипт для распаковки vmprotect?
Я скачала скрипт "VMProtect 1.xx - 2.xx Ultra Unpacker v1.0".
И там в архиве были приложения для теста.
И при попытке его распаковать скрипт останавливает свою работу на 4840 строке.
Что может быть не так, то ?
Он не останавливает, там же написано что "Process terminated". Что-то не срабатывает видать. Или ложно срабатывает. Может быть там какая-нибудь защита от отладки, может ещё чего подобное. Может быть этот скрипт не способен корректно работать без помощи плагинов PhantOm и StrongOD или аналогичных... В общем экстрасенсы затрудняются ответить ;-)
pfemidi, Это обычный анпакМе который идёт с этим скриптом в коробке там нет никакой защиты ВООБЩЕ кроме vmprotect. И там стоят все скрипты которые должны стоять и настроены так как и должны быть настроены !
pfemidi, Тогда где логика со скриптом ложить unpackme если версии не совпадают, это уже бред + там есть видео в которых показывается что и как делать :) Я с пытался распаковать самый простой unpackme и скрипт виснет и останавливается на run и так на любом приложении !
У меня это вообще не работает, у меня под виртуалкой x86_64, а надо чтобы было просто x86. Живого Windows у меня нет и не будет никогда, а переустанавливать на виртуалку x86 мне лениво. Так что sorry.
Ternick, скрипт прекрасно работает и всё распаковывает. Я проверял именно на "VMProtect 1.8 AL Manually" из комплекта этого скрипта. Установил в виртуалке Windows XP SP3 и проверил. Чтобы не быть голословным даже записал видео как этот скрипт распаковывает этот "VMProtect 1.8 AL Manually".
Вот видео в формате mp4 (14 мегов)
Вот на всякий случай то же самое видео в формате avi (82 мега) если вдруг почему-то mp4 не будет показываться.
Скрипт прекрасно отрабатывает, ни на какой строке 4840 не останавливается и полностью распаковывает этот UnPackMe.exe из каталога "VMProtect 1.8 AL Manually".
Ternick, на Windows Seven 32 тоже прошло на ура. На Windows Seven 64 не проверял, а Windows 8 и Windows 10 у меня физически нет ни живых, ни виртуальных и установить неоткуда, я Windows старше семёрки вообще никогда в живую не видел, только на картинках.
Ternick, а вот на Windows Seven 64 не прошло. Но не скрипт виноват, сам vmprotect просёк что его трассируют и вывел окно с надписью что обнаружен отладчик, дальше он работать не будет и завершился. Так что надо однозначно 32-хбитный Windows и чтобы или XP, или Windows Seven. За 8 и 10 уже ничего не скажу.
pfemidi, Ну я с самого начала тупанул и установил sp1 x64 (скрипт работал, но приложение видело что его дебажат и показывало об этом уведомление).
Потом увидел что sp 1 и установил sp3 x32 (не нашёл x64).
И как только в ollydbg перетаскиваю .exe и оно пытается загрузить что то и крашиться.
И я внимательно рассматривал видео пример распаковки и автор использует не ollydbg, а какую то странную версию этого дебагера (которую я так и не нашёл).
Ternick, модификация от LCF-AT вроде как называется Olly Grn. И LCF-AT вообще-то баба, так что не "такой же как у него", а "такой же как у неё" ;-) Вот где найти не знаю.
Ternick, специально сейчас скачал OllyDbg 1.10 с оригинального сайта автора вот отсюда и ещё раз прогнал именно его и на WinXP, и на Windows Seven 32. Всё работает и там, и там.
Ternick, там в тексте распаковочного скрипта бага -- путь на ARImpRec.dll указывается дважды. Первый раз где-то в самом начале скрипта, а второй раз переменная, содержащая путь, переписывается совсем другим значением. Вот этот второй mov надо просто закомментировать и всё. Ну или сделать так, чтобы в переменную заносился правильный путь на ARImpRec.dll
Ternick, не за что! Когда у меня возникло такое же я просто посмотрел в какой строке скрипта это вылезло, с лёгкостью нашёл это второе присваивание пути к ARImpRec.dll, исправил, перезагрузил программу и скрипт и в этот раз всё прошло нормально. Думал что это очевидно и упоминать поэтому не стал.
Значит с настройками PhantOm и StrongOD как у меня больше не жалуется на то, что обнаружен отладчик? Значит дело было всё-таки в настройках?
Ternick, не всегда. Данные настройки подходят для того чтобы vmprotect ничего не заподозрил, но для, к примеру, Themida нужны другие настройки (проверено, я ковырял эту Themida). Зато при тех настройках при которых Themida не замечает что она под отладчиком vmprotect прекрасно определяет что его трассируют. Так что тут "каждому овощу свой фрукт!" ;-) опытным путём надо определять и выставлять свои специфические для более-менее серьёзных защит.
