Mi sto cimentando nella rimozione della protezione VMProtect 3.x da un file exe compilato con Delphi.
Sto usando l'exe di HxD un software free. L'ho protetto con la versione 3.3.1 di VMProtect, trovato su archive.
Qui si può trovare il file protetto.
Ho già trovato una discussione chiusa per vmprotect ed ho visto che punta al forum tuts4you ma alcuni file non sono più accessibili ed il thread è vecchio.
Ho provato a seguire i video tutorial su youtube ma mi hanno aiutato solo in parte.
In pratica carico il file su x32dbg, metto un breakpoint su kernelbase virtualprotect e riesco a fare l'unpack, solo che non riesco a trovare l'OEP senza che non guardi nel file exe originale, io vorrei imparare a farlo senza avere l'exe originale.
Avete suggerimenti in merito?
Fatto questo vorrei capire come ricostruire la IAT. Ma su questo forse ci sono dei tool su github che potrebbero funzionare.
Su youtube ho visto qualcuno che vende un software che si chiama "VMProtect Analyzer Professional" ma è a pagamento e non c'è una demo, non so se sia vero oppure è il solito fake per rubare soldi.
Grazie per l'aiuto.
Sto usando l'exe di HxD un software free. L'ho protetto con la versione 3.3.1 di VMProtect, trovato su archive.
Qui si può trovare il file protetto.
Ho già trovato una discussione chiusa per vmprotect ed ho visto che punta al forum tuts4you ma alcuni file non sono più accessibili ed il thread è vecchio.
Ho provato a seguire i video tutorial su youtube ma mi hanno aiutato solo in parte.
In pratica carico il file su x32dbg, metto un breakpoint su kernelbase virtualprotect e riesco a fare l'unpack, solo che non riesco a trovare l'OEP senza che non guardi nel file exe originale, io vorrei imparare a farlo senza avere l'exe originale.
Avete suggerimenti in merito?
Fatto questo vorrei capire come ricostruire la IAT. Ma su questo forse ci sono dei tool su github che potrebbero funzionare.
Su youtube ho visto qualcuno che vende un software che si chiama "VMProtect Analyzer Professional" ma è a pagamento e non c'è una demo, non so se sia vero oppure è il solito fake per rubare soldi.
Grazie per l'aiuto.