Good

On 25/06/2025 at 18:56, cambaz said:

💥 Despeje executáveis protegidos por VMP criptografados e compactados facilmente! 💥
🔹 Descrição:

Esta é uma ferramenta de despejo de memória de alto desempenho desenvolvida em C++ para engenheiros reversos avançados e analistas de malware. O dumper pode extrair toda a memória ou módulos individuais carregados de um processo em execução — mesmo que esteja compactado ou protegido (por exemplo, com VMProtect).

🧪 A ferramenta foi testada em executáveis protegidos pelo VMProtect e gerou com sucesso despejos de memória do processo descriptografado e descompactado na memória.

📌 Características:

✔️ Despejo completo de memória do processo (crackfrm_memory_dump.bin)

✔️ Despejos de módulos individuais com nomenclatura automática (modulename.crackfrm_dump)

✔️ Projetado para software compactado/protegido (por exemplo, VMProtect)

✔️ Suporte Unicode limpo com exibição de UI centralizada

✔️ Construído com compatibilidade total com a API do Windows (ReadProcessMemory, VirtualQueryEx, GetModuleFileNameEx)

🧰 Como funciona:

🎯 Você insere o PID do processo de destino (por exemplo, 8999).

📦 A ferramenta cria:

Um despejo binário completo da memória do processo.

Despejos individuais de módulos .dll e .exe da memória.

💾 Os arquivos despejados são salvos no mesmo diretório, nomeado apropriadamente.

🔧 Você pode então corrigir e reconstruir o .exe despejado usando ferramentas como Scylla ou PE Bear.

⚠️ Por que o Dumped .exe está quebrado?

Quando você despeja um processo protegido como um compactado com VMProtect:

As estruturas originais de cabeçalho e seção do PE são modificadas ou criptografadas.

O que resta na memória após a descompactação não está alinhado à estrutura original do arquivo.

As ferramentas de despejo simplesmente copiam regiões de memória — elas não reconstroem cabeçalhos PE ou importações.

🛠️ Como consertar o despejo?

➡️ Use Scylla ou um Reconstrutor de Importação semelhante:

Inicie o Scylla e conecte-o ao processo alvo antes de despejar.

Carregue o arquivo de despejo.

Use o "IAT AutoSearch" e depois "Obter importações".

Por fim, clique em "Corrigir despejo" para regenerar um executável utilizável.

📁 O dump fixo é salvo como: dumpname.exe.bak ou similar.

 

Conteúdo oculto
Dê reação E comente para ver este conteúdo oculto!

Conteúdo oculto
Dê reação E comente para ver este conteúdo oculto!

all

On 6/26/2025 at 12:56 AM, cambaz said:

💥 Dump Encrypted & Packed VMP Protected Executables Easily! 💥
🔹 Description:

This is a high-performance memory dumper tool developed in C++ for advanced reverse engineers and malware analysts. The dumper can extract the full memory or individual loaded modules of a running process — even if it’s packed or protected (e.g., with VMProtect).

🧪 The tool has been tested on VMProtect-protected executables and successfully generated memory dumps of the decrypted, unpacked process in memory.

📌 Features:

✔️ Full process memory dumping (crackfrm_memory_dump.bin)

✔️ Individual module dumps with auto naming (modulename.crackfrm_dump)

✔️ Designed for packed/protected software (e.g., VMProtect)

✔️ Clean Unicode support with centered UI display

✔️ Built with full Windows API compatibility (ReadProcessMemory, VirtualQueryEx, GetModuleFileNameEx)

🧰 How It Works:

🎯 You enter the target process's PID (e.g., 8999).

📦 The tool creates:

A complete binary dump of the process memory.

Individual .dll and .exe module dumps from memory.

💾 Dumped files are saved to the same directory, named appropriately.

🔧 You can then fix and rebuild the dumped .exe using tools like Scylla or PE Bear.

⚠️ Why is the Dumped .exe Broken?

When you dump a protected process like one packed with VMProtect:

The original PE header and section structures are either modified or encrypted.

What’s left in memory after unpacking is not aligned to the original file structure.

Dump tools simply copy memory regions — they don’t rebuild PE headers or imports.

🛠️ How to Fix the Dump?

➡️ Use Scylla or a similar Import Reconstructor:

Launch Scylla, attach to the target process before dumping.

Load the dump file.

Use the "IAT AutoSearch", then "Get Imports".

Finally click "Fix Dump" to regenerate a usable executable.

📁 The fixed dump is saved as: dumpname.exe.bak or similar.

 

Hidden Content
Give reaction AND comment to see this hidden content!

Hidden Content
Give reaction AND comment to see this hidden content!

<3

es

good