| Сейчас на форуме: (+7 невидимых) |
 |
eXeL@B —› Протекторы —› распаковка Themida |
| << . 1 . 2 . 3 . 4 . 5 . 6 . 7 . >> |
| Посл.ответ | Сообщение |
|
|
Создано: 18 августа 2008 22:28 · Личное сообщение · #1 привет всем! скачал зе бат последнюю версию почтовика клиента и ради хохмы решил его крякнуть! хе-хе не тут-то было загурзил в PEID он мне фигню какуюто выдаёт.... .загрузил в DIE вот он сразу расставил все точки над и..... говорит это злая Themida...... загрузил в Ольку и тутже вздрогнул.... Олька зависла и тут же винда мне сообщила что ошибка и нужно отправить отчёт к какойто матери..... короче парни помогите.... в чём трабла? нужна примочка к Олле? или какиенить настройке в Олле заменить?  |
|
|
Создано: 22 августа 2008 18:50 · Поправил: OLEGator · Личное сообщение · #2 я толком то олей не умею пользовацо 
почитываю уроки Рикардо Нарваха. Maximus выкладывай свой скрипт + кино. я попробу зебат сковырнуть) з.ы а мне нада чтоб и на 2000 пахало. 
----- AutoIt |
|
|
Создано: 22 августа 2008 23:13 · Личное сообщение · #3 Maximus пишет: + к этому скрипт RSI не восстановил одну функцию по адресу 7434D0, но в дампе она восстановлена)) не плохо было бы рассказать как это делается)) 007434D0 $-FF25 0C1C2201 JMP DWORD PTR DS:[<&user32.wsprintfA>] ; USER32.wsprintfA + в дамп не запустится на 2000 винде)) RSI неправильно восстановил одну функцию (RestoreLastError) все это ручками наверняка |
|
|
Создано: 23 августа 2008 01:32 · Поправил: ClockMan · Личное сообщение · #4 Если коиу интересно можно почитать статьи по расспаковке фемиды www.tuts4you.com/download.php?list.11 ----- Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли. |
|
|
Создано: 23 августа 2008 11:11 · Личное сообщение · #5 Короче парни такая бяка! нашёл OEP данными скриптами..... далее думаю дело за ImpREC да не тут то было...... он находит всего две библиотеки из которых типа зебат экспортирует функи!!!!!!! что это? прочитал несколько туторов..... но там ничего подобного нет типа импорт вылетает сам по себе как только входиш в IMPRec и вводиш OEP..... кто что скажет? что за бяка? и с чем её есть? (натощяк не получается=)  79ef_23.08.2008_CRACKLAB.rU.tgz - scripts.rar
|
|
|
Создано: 23 августа 2008 14:02 · Личное сообщение · #6 Перенаправление импорта обычное, посмотри в ольке, потрассируй, потыкай. Да и скрипт для этого выше выкладывали, вроде как. |
|
|
Создано: 24 августа 2008 11:36 · Личное сообщение · #7 RSI пишет: Вот распакованный: _http://rapidshare.com/files/139243563/The_Bat_u.rar.html в архиве файл + скрипт по восстановлению импорта ( если это можно так назвать ). там фемида висит больше как пакер! ты сам его распаковал? или уже распакованный залил? если сам то опиши вкрадце как ты импорт восстановил! или сними видео! пожалуйста.... |
|
|
Создано: 24 августа 2008 15:10 · Личное сообщение · #8 lobs пишет: ты сам его распаковал? или уже распакованный залил? если сам то опиши вкрадце как ты импорт восстановил! или сними видео! пожалуйста.... Импорт восстанавливает скрипт, Стоя на оеп жми Seqrch For->All Intermodular call, после чего выбираешь любой call с импортом жмешь на него чтоб появилось JMP[апи], жмешь на JMP[апи] правой кнопкой мыша->Follow in Dump->Memory Address. В окне дампа появится импорт, жмешь правой кнопкой мыша в этом окне->long->Address и смотришь где импорт начинается, этот адрес минус Image Base (00400000) и есть RVA, Size=00000C70 |
|
|
Создано: 24 августа 2008 15:48 · Личное сообщение · #9 прикол бешенный! распаковываю эту ******ную Themid'y по видеотутору ....... в видео так всё просто получается....... хоп потрасировал shift+f9 поставил бряк на секцию code нажал f9 и всё на оеп..... я так сделал у меня как вывалился целый ряд ошибок..... или прога вылетает и всё...... =((((( тёмный лес короче! |
|
|
Создано: 24 августа 2008 16:29 · Личное сообщение · #10 lobs Возможно, антиотладка палит, посмотри на сборку ольки в туторе и плагины. |
|
|
Создано: 24 августа 2008 16:46 · Личное сообщение · #11 lobs rapidshare.com/files/138149196/OllyICE_TheMida_By_EvOlUtIoN.rar Тебе уже эту ссылку давали, если что иди на tuts4you.com - там в поиске вбей фему, там и плагины будут и туторы и скрипты. ----- PSP-Gamer.ru |
|
|
Создано: 24 августа 2008 17:29 · Личное сообщение · #12 lobs пишет: прикол бешенный! [offtop] Пока не напишешь чем, кого, и куда изучал, твой прикол врядли кто-то оценит. [/offtop] |
|
|
Создано: 25 августа 2008 06:36 · Личное сообщение · #13 кстати, нет ни у кого позитивного опыта восстановления релоков после фемиды? |
|
|
Создано: 25 августа 2008 09:56 · Личное сообщение · #14 Maximus пишет: однако RSI не пояснил как найти эти адреса mov OEP, c54d60 mov bp1, 11e8f67 mov bp2, 11e8fa9 mov iat, 10c3ff8 OEP искал, заведомо зная что прога написана на Delphi, т.е. через GetModuleHandle(NULL); bp1 и bp2 это бряки на функцию создания переходников в импорте. посмотрел all intermodular calls и далее ставил бряки на запись (создание) переходников. Maximus пишет: к этому скрипт RSI не восстановил одну функцию по адресу 7434D0 да, просто руками зашел в эту функу и посмотрел что там есть. чуть ниже видно этот переходник. Maximus пишет: + в дамп не запустится на 2000 винде)) RSI неправильно восстановил одну функцию (RestoreLastError) ну эт не я, а ImpRec скорее всего =) ничего там сложного нет. учитывая те вопросы которые здесь в топике задают, хотя бы сначала на пакерах потренировались, а не сразу за мега-прот. горазде веселее когда фемида с маркерами и вм. Maximus пишет: Не успел выложить свой вариант)) думаю теперь незачем)) хотя скрипт у меня сделан по другому)) выкладывай. хуже от этого не будет =) |
|
|
Создано: 25 августа 2008 12:55 · Поправил: Maximus · Личное сообщение · #15 Да выкладывать мой вариант не имеет смысла, потому что все тоже самое. Единственное что могу сказать, так как ИАТ не тронут практически то сначала сделал рабочий дамп, а потом восстанавливал уже в нем переходники (скрипт ниже). Так же порадовало что разработчики почему то совсем не заморфили секцию самого протектора, распаковывать такое просто счастье))... Что касается функции RestoreLastError, то достаточно зайти в hiew и ручками вбить SetLastError, заменив нулями лишние символы. Code:
----- StarForce и Themida ацтой! |
|
|
Создано: 25 августа 2008 17:51 · Поправил: OLEGator · Личное сообщение · #16 Maximus не хочу показаться надоедливым, всёже можно кино? Есть необходимость пользоваться чистым EXE от бата, но обновления довольно часто выходят и не хочется тревожить народ. А так как я сам мало что понимаю. По кино я возможно бы смог самостоятельно справляться с этой задачей. Maximus пишет: достаточно зайти в hiew и ручками вбить по этому пункту можно подробнее для чайников.
з.ы. и раз уж тут тема частично о зебате. Помните был такой замечательный кейгено-патч The Bat! 3.xx Ajron's Key Maker [o8.1o.2oo4] Ведь алгоритм ключей с времён 3хх версий не изменился? Но однако он не находит в распакованном экзешнике где патчить. Может кто подскажет где пропадчить, чтоб кейген вновь работал? хм.. при попытке подмены ресурсов (PNG) начал просить какуюто ck.dll
----- AutoIt |
|
|
Создано: 25 августа 2008 22:03 · Личное сообщение · #17 RSI пишет: OEP искал, заведомо зная что прога написана на Delphi, т.е. через GetModuleHandle(NULL); bp1 и bp2 это бряки на функцию создания переходников в импорте. посмотрел all intermodular calls и далее ставил бряки на запись (создание) переходников. RSI действительно сделай видеотутор!!!!! как ты распаковывал..... ну действительно брат... чего тебе стоит! |
|
|
Создано: 26 августа 2008 10:50 · Поправил: ARCHANGEL · Личное сообщение · #18 lobs,OLEGator Что вы в этом видео хотите увидеть? Вам же уже и так всё разжевали, это не тот случай, чтоб видео снимать, уж лучше видео по распаковке самой фемки ----- Stuck to the plan, always think that we would stand up, never ran. |
|
|
Создано: 26 августа 2008 11:59 · Личное сообщение · #19 ARCHANGEL +1 делай видео ----- Лень - это подсознательная мудрость |
|
|
Создано: 26 августа 2008 19:50 · Личное сообщение · #20 ARCHANGEL пишет: lobs,OLEGator Что вы в этом видео хотите увидеть? Вам же уже и так всё разжевали, это не тот случай, чтоб видео снимать, уж лучше видео по распаковке самой фемки для тех кто в танке..... тема называется распаковка Themida.... а значит просим видео по её распаковке! |
|
|
Создано: 26 августа 2008 21:17 · Личное сообщение · #21 НУ меня лично интересует именно распаковка TheBat и её будующих версии. Буду признателен за киношку и ещё ту штуку, которая за работу в 2000 винде проясните подробнее. 
----- AutoIt |
|
|
Создано: 26 августа 2008 22:17 · Личное сообщение · #22 OLEGator пишет: и ещё ту штуку, которая за работу в 2000 винде проясните подробнее RestoreLastError отсутствует в 2000 винде, поэтому для совместимости нужно заменить в таблице импорта эту функцию на аналогичную SetLastError, и всё будет круто, это уже много раз обсуждалось, ещё при распаковке аспра давних бородатых версий ----- Stuck to the plan, always think that we would stand up, never ran. |
|
|
Создано: 27 августа 2008 14:57 · Личное сообщение · #23 Видеотутор по распаковке Themida с этой версии The Bat! 1) rapidshare.com/files/140505958/TheBat_manual_unpack_movie_by_RSI.rar.html 2) ifolder.ru/7875889 P.S. критика и пожелания не воспринимаются, т.к. это и так делалось по вашим просьбам!
|
|
|
Создано: 27 августа 2008 15:05 · Личное сообщение · #24 RSI Да какая критика, тут ща все прослезятся, наконец-то скажут ----- Stuck to the plan, always think that we would stand up, never ran. |
|
|
Создано: 27 августа 2008 20:27 · Поправил: OLEGator · Личное сообщение · #25 Спасибо за кино) И сразу вопросы. Решил всё это опробовать на более старой версии 4.0.28.x Всё шло как положено до момента восстановления импорта. в Импреке все фонкции показывает valid:NO. В кине я заметил используется старая версия импрека, это может влиять? у меня 1.6. И ещё в поле RVA 00СС4000 откуда это число? у меня изначально нули. ------------- всё допёр. начало .idata тока одно "С" типа вначале ещё
----------- блин результат получился мёртвым, хотя всё шло как по сценарию.
----- AutoIt |
|
|
Создано: 27 августа 2008 21:14 · Личное сообщение · #26 OLEGator попробуй другую версию ImpRec. OLEGator пишет: ещё в поле RVA 00СС4000 откуда это число? это осталось, от предыдущего раза вбивал. ( VA .idata - ImageBase ). OLEGator пишет: блин результат получился мёртвым, хотя всё шло как по сценарию выкладывай файлик + свой анпакнутый, посмотрим почему не получилось!
|
|
|
Создано: 27 августа 2008 21:38 · Поправил: OLEGator · Личное сообщение · #27 Всё до последнего шага соответсвовало фильму. но в итоге труп. Что-то типа Исключение: Unknovn software exception (0xc0000096) по адресу 0x01056d75 версия бата 4.0.28.1 (твоя была 3), OEP 00C56D74, RVA 00CC8000. Залить файло смогу только завтра на работе во второй половине дня, но ещё попробую найти такую же версию импрека. з.ы. а в дампере никаких цыферь изменять не надо было? ----------- перпробовал импреки 1.4.2 и 1.7c всё так же. ----- AutoIt |
|
|
Создано: 28 августа 2008 00:25 · Личное сообщение · #28 OLEGator Чето ты явно не то делаешь! Распаковывается один в один. ImpRec скорей всего не причем. Хотя возможно ты в нём неверное начало IAT указываешь. Вот распакованая версия 28.1 + скрипт под неё + iat hexcsl.com/upload/stats/1508 ----- Computer Security Laboratory |
|
|
Создано: 28 августа 2008 01:31 · Личное сообщение · #29 RSI пишет: критика и пожелания не воспринимаются Ну так...кроме коментов, больше ничего не разобрал... 
С каким разрешением надо мувик смотреть??? //у мну 1280Х1024 Из коментов про эмуль фунок не понял... //Фимку лучше ловить на заполнении таблички ----- Чтобы юзер в нэте не делал,его всё равно жалко.. |
|
|
Создано: 28 августа 2008 08:16 · Личное сообщение · #30 Распаковал у себя версию 4.0.24, процесс немного отличается. RSI пасиб за киношку , снимай ЫСЧО
----- Лень - это подсознательная мудрость |
|
|
Создано: 28 августа 2008 10:24 · Личное сообщение · #31 Bronco хз, у мя тоже 1280х1024 вроде бы все ок смотрится.
|
| << . 1 . 2 . 3 . 4 . 5 . 6 . 7 . >> |
|
eXeL@B —› Протекторы —› распаковка Themida |
Для печати