+- الفريق العربي للهندسة العكسية (https://www.at4re.net/f)
+-- قسم : منتديات الهندسة العكسية - Reverse Engineering Forums (https://www.at4re.net/f/forum-4.html)
+--- قسم : الأسئلة والإستفسارات، حلول المشاكل و تبادل الخبرات - Expert Exchange Newbie Questions Answers (https://www.at4re.net/f/forum-36.html)
+--- الموضوع : vm protect (/thread-2922.html)
vm protect - johnvb - 16-11-2021
السلام عليكم
هل ممكن فك حماية ملف sys محمي بحماية vmprotect ?
https://www102.zippyshare.com/v/uNydieq5/file.html
RE: vm protect - Venom - 04-01-2022
يمكنك أن تستخدم WinDbg، أو تستطيع التعديل علي الملف باستخدام أي محرر PE ومن Optional Header نغير Subsystem من Native إلي Windows GUI بعد ذلك يمكنك أستخدام نسخة مزيفة من ntoskrnl.exe و غيرها من الملفات إذا استدعي الأمر وبذلك تستطيع فك الملف في أي منقح من نوع Ring 3 (مثل OllyDbg، أو x64dbg).
مصادر تستطيع مساعدتك:
https://x64dbg.com/blog/2017/06/08/kernel-driver-unpacking.html
https://github.com/mrexodia/driver_unpacking
https://github.com/mandiant/speakeasy