VM Protect nasıl kırılır?

Elimde bir program var ve program vmprotect ile şifrelenmiş. DnSpy'a attığım zaman kaynak kodları gözükmüyor. Nasıl kırabilirim?

Detect it easy ekran görüntüsü:

Iknow

kaynak kodları gözükmüyor derken?
ekran görüntüsü paylaşabilir misiniz

ekran görüntüsü zaten paylaştım

VMProtect gibi güçlü korumalar, kodun tersine mühendislik yapılmasını önlemek için tasarlanmıştır.

---

1. VMProtect Korumasını Kaldırmak​

• Orijinal Kaynağı Kullan: Eğer korumayı kendin eklediysen, VMProtect uygulamasında korumayı kaldırarak yeniden derleme yap.
• Debug Modda Çalıştır: Eğer uygulama üzerinde kontrolün varsa, VMProtect'siz bir debug versiyonu oluştur.

---

2. Debugging Araçları Kullan​

VMProtect ile korunan bir uygulamayı incelemek için aşağıdaki araçları kullanabilirsin:

• x64dbg: Windows uygulamaları için güçlü bir debugger.
• IDA Pro veya Ghidra: Assembly kodunu analiz edebilen güçlü tersine mühendislik araçları.
• Scylla: Bellekteki PE dosyasını dökmek için kullanılır.
• OllyDbg (32-bit için): Bellekte kodu incelemeni sağlar.

---

3. Runtime Bellek Dökmek​

VMProtect koruması çalışırken, kodu bellekte çözebilir. Şu adımları izleyebilirsin:

1. Uygulamayı çalıştır ve x64dbg gibi bir debugger ile ataçla.
2. Dump Memory özelliğini kullanarak çözülmüş kodu bellekte dök.
3. Scylla gibi bir araçla dökümü valid bir PE dosyasına dönüştür.
4. Döktüğün dosyayı dnSpy veya ILSpy ile incele.

---

4. Anti-Debug Koruması ile Mücadele​

VMProtect, anti-debug özelliklerini sıkça kullanır. Debugger kullanırken anti-debug mekanizmalarını atlamak için:

• x64dbg Anti-Anti-Debug Scriptleri kullan.
• Bellek üzerinde CheckRemoteDebuggerPresent gibi çağrıları devre dışı bırak.