Najlepszy reversing w sieci

Jeśli myślisz, że jesteś zajebistym reverserem, bo przez ostatnie 20 lat przeanalizowałeś 500 rootkitów, 3000 dropperów, zbudowałeś mikroskop elektronowy w garażu i wygrałeś większość konkursów CTF – siądź wygodnie bo być może dostaniesz zawału jak przeczytasz tego jakby nie patrzył starego już bloga i tematy na nim poruszone

https://blog.back.engineering

Moja reakcja jak zobaczyłem to wszystko, przejrzałem kod i techniczne aspekty:

A co tam piszą, że tak się podniecam?

  • mutacja formatu PE z obsługą przenoszenia funkcji, obfuskacją kodu, naprawianiem wszystkich struktur, obsługą wszystkich możliwych problemów technicznych
  • głęboka analiza maszyny wirtualnej w VMProtect 2 i 3, assembler dla VMProtect jakbyś chciał sobie popisać w low-levelu VMProtecta
  • eksploitacja anti-cheatów w celu iniekcji kodu do innych procesów
  • budowanie silników metamorficznych
  • budowa obfuskatora dla LLVM

…i jeszcze tona innych tak zaawansowanych tematów, których nie widziałem jeszcze nigdy u nikogo poruszonych.

Osoby stojące za tym są w fazie wydawania unpackera dla najnowszych wersji VMProtect i budują nowy rodzaj zabezpieczenia dla plików PE32/64, ale nie wiecie tego ode mnie jakby co.

A kto za tym stoi? BackEngineering Labs.

Dewirtualizer dla VMprotect

No i stało się. Ktoś w końcu opublikował dewirtualizer dla popularnego systemu zabezpieczającego VMprotect, obsługujący jego najnowsze wersje z pełnymi kodami źródłowymi.

Repozytorium https://github.com/can1357/NoVmp

Wraz z jego publikacją pojawiły się powiązane narzędzia do zrzucania pamięci i naprawy importów aplikacji zabezpieczonych VMprotectem:

Wszyscy, którzy polegali jedynie na wirtualizacji kodu chyba muszą się poważnie zastanowić nad bezpieczeństwem swoich aplikacji.

Być może to dobra pora przerzucić się na inny system zabezpieczający aplikacje ze znacznie bardziej bogatym wachlarzem zabezpieczeń i SDK, do którego jeszcze nikomu nie udało się zrobić unpakera 🙂