Решил тут поразбираться со страшным зверем которого зовут Themida. Причем не так, как большинство - как бы получше сграбить дамп, чтоб проверки протектора обмануть, а именно по хакерски - дизассемблировать и понять структуру протектора.

Я понимаю, что в каждом случае штамм Themida отличается друг от друга (из-за ее возможностей, и разных настроек при запуске). Но не будете же вы спорить, что один раз ее дизассемблировав второй и последующие разы пойдут проще?

Как подопытный кролик пошел The Bat 4.0.24 (авторские права автора The Bat я не нарушаю, так как взламывать его прогу я не собираюсь, а сам использую Outlook). Естественно, пока я Themida не взломал, но несколько шагов уже сделал. Результаты моих изысканий оформил тут:

http://bigblueboar.narod.ru/kill_themida.rar

Собственно просьба к умным и знающим людям - где поправить, где наставить на путь истинный, а где и поругать. Я думаю, в конце концов мы таки разберемся в данном протекторе.

| Сообщение посчитали полезным:

esec.fr.sogeti.com/blog/2009/10/02/71-how-to-implement-a-new-process-in-metasm интересная статтья, думаю в тему. если что не взыщите

| Сообщение посчитали полезным:

Обновил документ. 15 обработчиков, около 70 разобранных команд виртуальной машины

| Сообщение посчитали полезным:

Итак, первый этап пройден. Виртуальная машина ЗАКОНЧИЛАСЬ. Оно и ежу понятно, что закончилась она только первая VM, а там еще куча предстоит. Но пока она вышла обратно в ассемблерный код и пытается найти экспорты KERNEL32.DLL

А вся виртуалка (к слову сказать около 400 байт) делала следующее:

- Сохранила на стеке некую константу непонятного вида
- Сохранила на стеке базу KERNEL32.DLL (найденную ранее в ассемблерном коде)
- Сохранила на стеке адрес, по которому находится код, запускающий следующую VM

И... все. Для этого нужно 400 байт

| Сообщение посчитали полезным:

Продвинулись далее. В связи с этим откорректированное предыдущее сообщение:

А вся виртуалка (к слову сказать около 400 байт) делала следующее:

- Сохранила на стеке ХЭШ строки 'LoadLibraryExA'
- Сохранила на стеке базу KERNEL32.DLL (найденную ранее в ассемблерном коде)
- Сохранила на стеке адрес, по которому находится код, запускающий следующую VM
- Сохранила букву 'L' в памяти

А ассемблерный код за ней делал следующее

- Нашел экспорты KERNEL32.DLL
- Нашел из них те, что на букву L
- Из них вычислил хэш и нашел функцию LoadLibraryExA
- Сохранил ее адрес.

И снова занырнул в виртуалку. Разбираюсь

| Сообщение посчитали полезным:

Очередное дополнение. Функция все-таки вызывала не LoadLibraryExA, а просто LoadLibraryA. Во второй ВМ она занесла на стек адрес строки 'USER32.DLL' и вызвала LoadLibraryA чтобы ее загрузить. Ковыряю третью ВМ

| Сообщение посчитали полезным:

blueboar2 пишет:
Ковыряю третью ВМ
Это не виртуальные машины.

| Сообщение посчитали полезным:

Да знаю я. Одна виртуальная машина, но разные программы. Извиняюсь за нарушение терминологии

| Сообщение посчитали полезным:

а покрыто ВМ что нибудь такое


Адреса конечно-же другие, т.к. версия Фимы другая

-----
127.0.0.1, sweet 127.0.0.1

| Сообщение посчитали полезным:

А в конце это что? SEED? Или хэш какой-нить? Из времени то

| Сообщение посчитали полезным:

генерятся константы для антидампинга

-----
127.0.0.1, sweet 127.0.0.1

| Сообщение посчитали полезным:

http://bigblueboar.narod.ru/kill_themida.rar

Ссылка не активна будьте добры у кого остались архивы, залейте на обменник.

| Сообщение посчитали полезным:

neoBlinXaker пишет:
Ссылка не активна будьте добры у кого остались архивы, залейте на обменник.
http://zalil.ru/33908860

| Сообщение посчитали полезным: