- 12
- 157
VMP-Imports-Deobfuscator позволяет деобфусцировать имеющиеся импорты в .text секции, которые декриптятся в секции VMProtect.
Она также перестраивает IAT и затем патчит все обфусцированные вызовы. Реверсеру остаётся только сдампить саму программу или модуль внутри программы. (Поддерживает только 64-бит)
Проект базируется на репозитории этого молодого человека, за что ему огромное спасибо: тык
Тулза была протестирована на версиях 3.1, 3.5, 3.6, 3.7, 3.8.3, 3.8.4, 3.8.5, 3.8.6.
До фикса:
После фикса:
Пример использования:
Пользователю больше не нужно вводить названия всех секции VMProtect, программа сама старается определять секции по вычисленной энтропии. У защищенных приложений VMProtect энтропия секции всегда больше 7.
Репозиторий тута: https://github.com/colby57/VMP-Imports-Deobfuscator
Она также перестраивает IAT и затем патчит все обфусцированные вызовы. Реверсеру остаётся только сдампить саму программу или модуль внутри программы. (Поддерживает только 64-бит)
Проект базируется на репозитории этого молодого человека, за что ему огромное спасибо: тык
Тулза была протестирована на версиях 3.1, 3.5, 3.6, 3.7, 3.8.3, 3.8.4, 3.8.5, 3.8.6.
![result.png](/proxy.php?image=https%3A%2F%2Fgithub.com%2Fcolby57%2FVMP-Imports-Deobfuscator%2Fblob%2Fmain%2FImages%2Fresult.png%3Fraw%3Dtrue&hash=5a139a5d80701376f256c142b35db513)
До фикса:
![before.png](/proxy.php?image=https%3A%2F%2Fgithub.com%2Fcolby57%2FVMP-Imports-Deobfuscator%2Fblob%2Fmain%2FImages%2Fbefore.png%3Fraw%3Dtrue&hash=fe65d5a9e38729edb653145d0d6c9f17)
После фикса:
![after.png](/proxy.php?image=https%3A%2F%2Fgithub.com%2Fcolby57%2FVMP-Imports-Deobfuscator%2Fblob%2Fmain%2FImages%2Fafter.png%3Fraw%3Dtrue&hash=cf1d911b5c3327582dc7e14782618ffb)
Пример использования:
Код:
-p: required.
Usage: VMP-Imports-Deobfuscator [options]
Optional arguments:
-h --help shows help message and exits
-v --version prints version information and exits
-p --pid Target process name [required]
-m --module Target module name [default: ""]
-i --iat Section that is used to storage new IAT, it maybe destroy vmp code [default: ".rdata"]
VMP-Imports-Deobfuscator.exe -p 3135
VMP-Imports-Deobfuscator.exe -p 3135 -m "sample.dll"
VMP-Imports-Deobfuscator.exe -p 3135 -m "sample.dll" -i ".sec0"
Пользователю больше не нужно вводить названия всех секции VMProtect, программа сама старается определять секции по вычисленной энтропии. У защищенных приложений VMProtect энтропия секции всегда больше 7.
![entropy.png](/proxy.php?image=https%3A%2F%2Fgithub.com%2Fcolby57%2FVMP-Imports-Deobfuscator%2Fblob%2Fmain%2FImages%2Fentropy.png%3Fraw%3Dtrue&hash=d4fb4e42c3117dcfce87d4ef17844778)
Репозиторий тута: https://github.com/colby57/VMP-Imports-Deobfuscator