привет всем! скачал зе бат последнюю версию почтовика клиента и ради хохмы решил его крякнуть! хе-хе не тут-то было загурзил в PEID он мне фигню какуюто выдаёт.... .загрузил в DIE вот он сразу расставил все точки над и..... говорит это злая Themida...... загрузил в Ольку и тутже вздрогнул.... Олька зависла и тут же винда мне сообщила что ошибка и нужно отправить отчёт к какойто матери..... короче парни помогите.... в чём трабла? нужна примочка к Олле? или какиенить настройке в Олле заменить?

| Сообщение посчитали полезным:

pavka пишет:
А че там показывать ;) иди в рар статьи и читай статью SergSh
Принципиально импорт восстанавливается всегда одинаково
+1
depler
всего три системных библы, лови на запись да корректируй куда те надо...
приблизительно так:

4108_02.11.2008_CRACKLAB.rU.tgz - Navigator 3_unpack.txt

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Нифига не получаеццо Скрипт в аттаче скажите че не так?

-----
Лень - это подсознательная мудрость

| Сообщение посчитали полезным:

Не цепляется...

20f7_02.11.2008_CRACKLAB.rU.tgz - Themida.osc

-----
Лень - это подсознательная мудрость

| Сообщение посчитали полезным:

а где вы качали этот билд?

я счас слил с офиц. сайта дистриб, там опять версия 4.0.34.0

| Сообщение посчитали полезным:

RSI - www.ritlabs.com/download/files3/the_bat/beta/tb403417.rar

-----
Лень - это подсознательная мудрость

| Сообщение посчитали полезным:

ок. спасибо. гляну

| Сообщение посчитали полезным:

ну да. новая фимка, т.к. имена секций уже изменились =)

авторы включили опцию защиты импорта, поэтому скрипт и не отрабатывает. он восстанавливает только переходники одного вида. а там еще 2 вида есть ))

| Сообщение посчитали полезным:

в общем дописал чуток скрипт, теперь эту версию фиксит.
только нужно еще будет найти 2 адреса bp3 и bp4, они там рядышком поэтому кому нужно будет сам посмотрит и догадается что к чему.

в аттаче скрипт + восстановленная таблица импорта.

fc75_03.11.2008_CRACKLAB.rU.tgz - Bat.rar

| Сообщение посчитали полезным:

RSI уважаемый, пожалуйста фильм для непонимающих пользователей руборда. Для тех кто не хочет научится снимать прот, а именно заинтересован в снятии с TheBat, дабы не приставать к крякерам с каждой версией.

-----
AutoIt

| Сообщение посчитали полезным:

имхо нет смысла, в след. версии скажем ( Beta ) разрабы поставят еще одну галочку в опциях и опять переснимать кино.

| Сообщение посчитали полезным:

RSI пишет:
и опять переснимать кино

Станешь режиссером и будешь свои фильмы за килобаксы продавать.

| Сообщение посчитали полезным:

NIKOLA пишет:
Станешь режиссером
Про Настасью Филиповну, продолженьеце желаю...

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Да вероятность есть, что они чтонибудь да поменяют. Но предыдущая версия долго продержалась и возможно изменили только потому, что вышла новая версия прота?
А то что в аттаче уже готовое для 4.0.34.17 ?
Открыл в оле, выбрал рун скрипт, отработал, запустил импрек, загрулил импорт из файла. В оле выбрал думп (снял птичку с чето-то там про импорт) сохранил файл дампа, В импреке нажал фикс дамп и указал тот файл. в итоге: мертвый, не запускается.

-----
AutoIt

| Сообщение посчитали полезным:

странно. попробуй не грузить дерево в impRec из файла, а сделать GetImport из проги

| Сообщение посчитали полезным:

типа хинта
При анпаке фимы лучше не юзать импрек и уж тем более UIF ;) Уж если кто не может обойтись лучше заюзать CHimpREC

| Сообщение посчитали полезным:

Ура! получилось. Спасибо RSI

-----
AutoIt

| Сообщение посчитали полезным:

OLEGator а че было не так?

RSI объясни насчет адресов bp3 и bp4 как тыих нашел, особенно bp3? у меня там

011F9F84 0BC0 OR EAX,EAX <<bp3 черти где ))

011FAA1B 58 POP EAX <<bp4 рядом с bp1 и bp2

И еще как ты выбираешь адрес куда записывать iat?

-----
Лень - это подсознательная мудрость

| Сообщение посчитали полезным:

depler пишет:
RSI объясни насчет адресов bp3

потрейси на цикле создания переходников ручками и будет ясно.

bp4 нужен, для того когда переходник одной и той же функции пишется 2 раза по разным адресам.

depler пишет:
И еще как ты выбираешь адрес куда записывать iat?

ищу свободное место в файле, чтоб хватило для новой таблички. для бата пока хватает секции импорта прота.

| Сообщение посчитали полезным:

depler пишет:
а че было не так?
даж не знаю. не рабочий получался если подгружать их файла табличку.
через GetImport нормано.
depler, если раберешся во всём процессе кино замутишь?

-----
AutoIt

| Сообщение посчитали полезным:

RSI ну да. новая фимка, т.к. имена секций уже изменились =)

Имена секций случайно не такие: xkvwtsvn, .rsrc, wdoamhlv, wtpmichy, cmjeaavy. PEiD к сожалению не показывает чем упаковано. Это последняя мыша скачанная с сайта. Подскажите она фимой накрыта?

-----
Надежда - есть худшее из зол, ибо она продлевает наши страдания.© Ф. Ницше

| Сообщение посчитали полезным:

gena-m

Themida - 2.0.5.0

WL section - tpmichy

| Сообщение посчитали полезным:

gena-m юзаем плагин для PEiD , DiE - Themida/WinLicense ID.


1595_01.03.2009_CRACKLAB.rU.tgz - Themida-Winlicense ID.rar

-----
PSP-Gamer.ru

| Сообщение посчитали полезным:

Спасибо, с плагином разобрался. Теперь другая проблема при запуске скрипта от RSI мыша запускается, я так понимаю что в этом случае нет смысла дампить. Кто подскажет где взять нормальные туторы по фиме, те что прочитал не годятся.

-----
Надежда - есть худшее из зол, ибо она продлевает наши страдания.© Ф. Ницше

| Сообщение посчитали полезным:

gena-m
В скрипте константы изменить надо, последнее че видвл на мыши - темиду 2.0.3.0 (давно еще), распаковалась нормально, но там теперь просто так ее не запатчишь пишет ключ нужен нового образца, так что проще готовую найти

-----
Лень - это подсознательная мудрость

| Сообщение посчитали полезным:

Не могу найти переходники в последней фиме 2.0.5.0. Такое подозрение что их там нет. Подскажите пож. Во вторых bp там все заняты, приходится по F2 ходить и реально все это в скрипт запихнуть?

-----
Надежда - есть худшее из зол, ибо она продлевает наши страдания.© Ф. Ницше

| Сообщение посчитали полезным:

Для чего фима грузит в свое адресное пространство системные библы? И какая литература есть на эту тему?

-----
Надежда - есть худшее из зол, ибо она продлевает наши страдания.© Ф. Ницше

| Сообщение посчитали полезным:

gena-m пишет:
Для чего фима грузит в свое адресное пространство системные библы?
Она отдельно грузит образы используемых прогой библиотек в отдельные регионы и переправляет вызовы из проги в них, попутно эмулируя часть на вм (если в опциях выбрано), сделано это для усложнения снятия\захучивания и т.п.

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным:

gena-m пишет:
Для чего фима грузит в свое адресное пространство системные библы? И какая литература есть на эту тему?

Да чтобы не проверять что ты там на нахукал в системных библах.
Из литературы что? У deroko был релиз лоадера-хукера но с arteam.accessroot.com/releases.html он сейчас у меня не грузится. Описалово к релизу есть тут reversengineering.wordpress.com/2008/08/11/themida-loader-peb-dll-hooker-templates-for-msvc/

-----
127.0.0.1, sweet 127.0.0.1

| Сообщение посчитали полезным:

OKOB пишет:
он сейчас у меня не грузится


3e3a_05.03.2009_CRACKLAB.rU.tgz - themidaspy.zip

| Сообщение посчитали полезным:

скажите вот этот файл поддается распаковке ?
rapidshare.com/files/201196271/ldr.dll.html

1,6мб

| Сообщение посчитали полезным: