Что нужно для успешной распаковки накрытого фемидой файла ? Программа обязательно должна запускаться на компьютере ? А если она показывает HWID и вываливается ? Тогда распаковать не получится ? Я имею ввиду не ручную распаковку, а с помощью UnThemida. Что то у меня вообще не получилось утилитой что либо распаковать.
Выкладываю файлик: h..p://dump.ru/files/n/n46661562
Размер 4.5 Мб.
Буду очень благодарен за помощь в распаковке и ответы на мои вопросы.

| Сообщение посчитали полезным:

Это не фемида а винлиценз, оба окошка протовские и выводятся до распаковки секций, сталобыть привязка протовская, нужен валидный ключ. А унтемида вообще только 1.8.x поддерживает (без маркеров и прочих опций).

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным:

Smon пишет:
нужен валидный ключ

Только валидный ключ или чтобы что то сделать нужно запускать на том компе ?
Для винлиценз существует распаковщик ?

| Сообщение посчитали полезным:

ToBad пишет:
Только валидный ключ или чтобы что то сделать нужно запускать на том компе ?
валидный ключ и хвид того компа на который куплена прога.

ToBad пишет:
Для винлиценз существует распаковщик ?
винлиценз это та же фемида но с функциями создания ключей, регистрации, привязки и т.п., унтемида его тоже берёт (1.8.x с теми же ограничениями по опциям).

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным:

Smon пишет:
валидный ключ и хвид того компа на который куплена прога.

Ты сможешь помочь если найду эти данные ? Там ещё куча графики к этой программе. Или этого хватит ?
Ключ в реестре хранится ?

| Сообщение посчитали полезным:

Нда, раскавырять бы подмену хвида, было бы вообще классно..

Ключ я так понимаю в win.dat файле... я могу помочь если что..
Восстановить ипорт/оеп/пошифрованые куски.
Либо можно стянуть VM из файла и приколбасить к exe файлу, если там будут куски которые выполняются в VM

-----
StarForce и Themida ацтой!

| Сообщение посчитали полезным:

Maximus пишет:
я могу помочь если что..

Был бы рад помощи ! Что от меня требуется ?

Насчет защиты думаю, что особых наворотов там нет. Программа требовательна к ресурсам и врядли стали бы использовать что то, что сильно замедлит её. С подменой есть одно но. Там привязка к CPUID присутствует.
А как я понял из смежной темы, с её обходом существуют большие проблемы.

| Сообщение посчитали полезным:

ToBad если есть возможность сделать ключ на мой хфид, то больше ничего не требуется.

-----
StarForce и Themida ацтой!

| Сообщение посчитали полезным:

С хвидом есть определенные заморочки, один человек правда в своё время конкретно разбирал как и что генерится, озвучивать ник не буду, если захочет - сам тут отпишет.
Maximus пишет:
Либо можно стянуть VM из файла и приколбасить к exe файлу, если там будут куски которые выполняются в VM
вм даже приколбашивать не надо, она обычно лежит в секции прота, навроде как у криптора, только поправить антидамп.

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным:

Smon мне попадалось и такие где надо было прикручивать. Может версии старые, может еще чего.
Стек для VM и часть кода вообще лежали ниже ImageBase (пример: ResMan). Сейчас уже легче. PE_Tools обходит антидамп, и дампит сразу с VM.

-----
StarForce и Themida ацтой!

| Сообщение посчитали полезным:

Maximus пишет:
если есть возможность сделать ключ на мой хфид, то больше ничего не требуется

Нет к сожалению такой возможности. Есть мать и винт на котором это работает и всё. Винда там 98. Биос какой то специальный, ни загрузки с CD ни с флеша. Винт был пошифрованным. Это удалось обойти и вытащить содержимое...

Smon пишет:
ник не буду, если захочет - сам тут отпишет

Хорошо бы...

| Сообщение посчитали полезным:

Maximus пишет:
мне попадалось и такие где надо было прикручивать
в старых да, в новых - нет, антидамп лежит в самой вм, там пара проверок на распакованность

Добавлено:
Специально посмотрел сейчас: прикручивать или нет зависит от типа вм, более простые прикручивать не обязательно (и антидампа в них тоже нет), более сложные с динамическими опкодами и мультибранчем - обязательно отсутствующие регионы (+фиксить в вм антидамп проверки).

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным:

Smon пишет: там пара проверок на распакованность
Значит мне как всегда повезло))...

Надеюсь человек отпишет по поводу подмены хвида))
Еще интересно как падчить СРЦ проверку что бы инлайнить темиду.

-----
StarForce и Themida ацтой!

| Сообщение посчитали полезным:

Maximus пишет:
Надеюсь человек отпишет по поводу подмены хвида))
Такие вещи,обычно на паблик не выносят.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Smon
Если не ошибаюсь там есть специальная галочка Anti Dump. После установки которой ВМ и разносится по секциям. Хотя я точно не тестировал с различными настройками. И если ВМ разбросана по секциям то сдампить её уже так просто не получится. Да и зачем её дампить если ВМ при таком раскладе будет занимать в сотни раз больше места чем сам файл

| Сообщение посчитали полезным:

VaZeR пишет:
Да и зачем её дампить если ВМ при таком раскладе будет занимать в сотни раз больше места чем сам файл
Нет, но пару мегов прибавит.

-----
StarForce и Themida ацтой!

| Сообщение посчитали полезным:

VaZeR пишет:
Если не ошибаюсь там есть специальная галочка Anti Dump.
В Protection Options действительно есть пункт Anti Dumpers, он отвечает за защиту от дамперов типа OllyDump, LordPE и т.п. (PE_Tools рулит), и вм тут не при чём, она по отдельному плану

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным:

Сдампить проблемно наверное будет, это DirectX приложение под win98. Полноэкранный графический режим...

| Сообщение посчитали полезным:

ToBad пишет:
Там привязка к CPUID присутствует.
А как я понял из смежной темы, с её обходом существуют большие проблемы.
Я решал с помощью лоадера, ставил хук на адрес.
К чему ещё привязка ?

| Сообщение посчитали полезным:

SergX пишет:
К чему ещё привязка ?

К биосу и hdd. А на чём лоадер написан ? Можешь поделиться наработками ? Это сработает на win98 ?

| Сообщение посчитали полезным:

Биос в 9х читается на прямую. Под NT, если не стоит Ring0 protection, то к нему привязки вообще нет! В первую очередь тебе нужно проверить используется ли драйвер, если да, то при переносе с 9х на NT гарантирован очень большой гемор, если же драйвер не используется, то тогда и HWID для разных осей будет разным...

| Сообщение посчитали полезным:

ToBad пишет:
К биосу и hdd.
Если к hdd через DeviceIoControl, то без проблем.
К биосу как ? Портами ? Или к образу в ОЗУ ? Или к биосу видяхи ? Или к CMOS ?
Нужен конкретный результат, какие апики и т.д. Шагай..
Сам бы пошагал, но сорри, у мну щаз нет лишнего времени.

ToBad пишет:
А на чём лоадер написан ?
Delphi рулед...

ToBad пишет:
Можешь поделиться наработками ?
Это тока через личку.

ToBad пишет:
Это сработает на win98 ?
Не пробовал, но на 99,9% что да.

| Сообщение посчитали полезным:

SergX
Если ограничение на личку не стоит,тож интересно глянуть.
Помимо проца,мну ещё серийку харда,подменить нужно.
Пока под Олькой правлю.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Есть два варианта обмана CPUID.

Первый: патчить в памяти процедуру, которая вызывает CPUID.
Не всегда в процедуре хватает места для записи нужных значений в регистры.

Второй: Ставить хук на процедуру( менять первые байты процедуры на дальний jmp xxxx).
По адресу хххх, предварительно нужно выделить память в процессе и записать туда свою процедуру.
Для получения адреса процедуры (которая с CPUID) я использовал поиск по сигнатуре.
Поиск процедуры и установку хука я делал из другого хука, установленного на апик который вызывался после распаковки нужного участка кода.

Универсального способа я думаю нет. Под каждую задачу нужно искать своё решение.
Если кто даст адрес CPUID в поге из первого поста, попробую сделать лоадер.

З.Ы. Постараюсь найти время и написать подробные статьи (про CPUID и DeviceIoControl) с примерами.

| Сообщение посчитали полезным:

Bronco пишет:
Помимо проца,мну ещё серийку харда,подменить нужно.
Пока под Олькой правлю.
Глянул на прогу из первого поста. Там мой вариант с подменой серийки hdd не проходит. Хотя думаю что можно переделать. Я ставил хук на DeviceIoControl, и после вызова правил результат в памяти. В моем случае серийка hdd получалась так же как в HDDScan (400Kb) http://dl.softportal.com/load/HDDScan_v28.zip . Тут DeviceIoControl используется иначе.
Дай адреса (в поге из первого поста) и расскажи, как и где правишь.

| Сообщение посчитали полезным:

SergX
Мой случай,к проге из топа,не относиться.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco
У тебя тоже винлиценз ?
Если хочеш, кинь линк на прогу в личку.

Вот пример http://slil.ru/25057801 обмана DeviceIoControl на примере HDDScan (400Kb) http://dl.softportal.com/load/HDDScan_v28.zip .

| Сообщение посчитали полезным:

Сложного в подмене ИД в Винлайсензе
ничего нету - ну ето по крайней мере мне
сча кажеццо када ночку не поспал как гриццо
Самое классное в фимке то что ета гадость
к известным байтам серийника прилепливает
еще 4 - е Т.е. например клиенту присылается
файлик GetHardware.exe и она показывает серийник,
а сама прога, сука, еще 4 генерит и сравнивает с ключом...
подставить ключ не сложно а вот блин сдампить, найти и восстановить
оеп, а потом и таблицы - ТРУБА ВОТ БЕДА!!!

| Сообщение посчитали полезным: