Доброго время суток, в данной статье предлагаю размещать различные мануалы по снятию темиды, а также полезные программы и скрипты. Я знаю, что такая тема уже задавалась на кряклябе, но потом проект как-то заглох, да и темида уже давно обновилась. Ну чтож, в добрый путь, друзья!

| Сообщение посчитали полезным:

Ну так, эт самое, — размещай

-----
may all your PUSHes be POPed!

| Сообщение посчитали полезным: web09

Guru_eXe пишет:
Ну так, эт самое, — размещай
В том-то и дело, что у меня ничего подобного нет. Только скрипт для снятия старых версий прота, да и то вы можете его найти в соседней теме.

| Сообщение посчитали полезным:

поговорили и нечего не разместили... хоть бы тогда привели уже существующие скрипты, для каких версий подходит и т.д.

| Сообщение посчитали полезным:

The.Themida.Winlicense.Full.Cracking.Package-Q
from http://forum.tuts4you.com/showtopic=21657&hl=themida&st=120
WL.&.TM.VM.dumper.&.IAT.CodeEnc.Fixer.v2.6.0-SnD
A script to unpack all known versions of Winlicense and Themida using any options.

The script will unpack all known Themida and Winlicense applications
using virtual machine antidump on Windows XP. (v1.8x - 2.1.0.0)

Known issues;
-Version retrieving can error, switch it off when neccesary.
-VM oeps are not always retrieved you must rebuild or find them yourself.
-Memory loaded dll's are not dumped.
-The script stops after asking for the new antidump locations, just resume the script when it does.

Usage;
Step 1: Unpack an application using this script.
(Start at system entrypoint, EP break must be available,
no other breakpoints)
Step 2: When neccesary attach the dumped VM. Fix VM oep.
Step 3: Dump and Imprec.

Always read the log it holds vital information. Also there are several options that can be modified in the first few lines of this script.
Tinker with it if it doesn't unpack your app.

The.Oreans.(Themida&Winlicense).VM.antidumps-Q
An article covering all antidumps, including more newer ones.


Running.Winlicense.Protected.Applications.Without.Licenses-SND
An article on how to run Winlicense protected apps without licenses.


I owe my gratitude to the whole of the webscene for support,
inspiration , ideas and the supply of information/executables.

Especially;

-A lot of suppliers.
-ARteam for being rumored to be the first to have found the first antidumps.
-An unnamed American.
-Lena for showing so many people the way.
-Teddy, for supplying us tuts4you.
-Team SND old and new members.

And most of all just have fun with this all. Use it for knowledge, the challenge and fun.
Monetary gain is never to be aspired.

regards


96b1_08.10.2010_CRACKLAB.rU.tgz - The.Themida.Winlicense.Full.Cracking.Package-Q.rar

| Сообщение посчитали полезным: SDK

TM - WL HWID & BASIC Inline Patcher 1.0 CISC & RISC & CRC Inline Example Movies
from Link
Features:
***************************************************
- The script writes a BASIC Inline patch + 1 API Hook in the new section or at a free address
- Script is checking for CISC or RISC
- Script is checking for CRC address & DWORD and it filled the new one
- Script is checking for HWID & TRIAL / Old & New till v.20.65
- Script also writes the HWID & TRIAL Inline / Old or New / CISC or RISC into the .MaThiO section
- End Results Box after script finish.
]Download

| Сообщение посчитали полезным:

Themida - Winlicense 1.x - 2.x Imports Fixer Edition 1.0 by SnD

from forum.tuts4you.com/showtopic=24057

Original script was extended with some new features.....

- FAST-IAT-PATCH
- Normal MJ patching
- Second VM OEP Finder Intelli Version + VM Stopper!
- Heap Skip
- TM WL section address alloc fix
- Eax -1 Skip [OS SP Problem] | SetEvent will rebuild if used!
- etc

f2ce_15.10.2010_CRACKLAB.rU.tgz - Themida - Winlicense 1.x - 2.x Imports Fixer Edition 1.0 by SnD(2).rar

| Сообщение посчитали полезным:

Author: LCF-AT
Date: Friday 15 October 2010
Today I want to post a new TM & WL Unpack script. So you know already the TM WL unpack script by Quosego which is public for a long time now and which is also very good. The only problem which you will have that this script can take a long time to unpack a large size target so I remember I have use it with a target xy where the script was working over 3 hours. So this is a big problem if you have a low level PC system like me and I hate to wait so I am also lazy like you! Someday I started to mod the original script by Quosego and added a few direct API patching code parts which allows to patch all API's in a few seconds and the waiting time was over now. It's already some time ago where I have done this. Now our friend SuperCRacker has written a new tool called Imports Fixer which can do this like my code patches. So this tool can fix also the direct API's and also with the original IAT if you want. So this was now also a reason for me to create a new mod in the last 2 days of the original script by Quosego which can also get the IAT with the fast special IAT patch [Remember my L.B.C unpacker script] and brings you very fast to the OEP where you now can use the Imports Fixer tool. I added also some new stuff. The main thing is that you now can use this new script on 2 diffrent ways.You can use it as always [quosego way] or you use the new and fast unpack method [LCF-AT way + Imports Fixer Tooly by SuperCRacker]. You can choose now. I also have created three unpack session movies where you can see how to use the new method and how to work with the Imports Fixer. This is also the reason why I call this script now.

tuts4you.com/download.php?view.3013

-----
127.0.0.1, sweet 127.0.0.1

| Сообщение посчитали полезным:

Немного инфы о TM (не крэк)
habrahabr.ru/blogs/infosecurity/106920/

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.

| Сообщение посчитали полезным:

Смешно читать коменты. Не разобрался как в выложенных макросах восстанавливать переходники (Сall и Jmp). Написал для себя небольший скриптос, который восстанавливает импорт по обращению в секцию кода. А так вся темида фуфло (подпись)

-----
StarForce и Themida ацтой!

| Сообщение посчитали полезным:

Почитал, посмотрел и понял: что все эти скрипты без видео урока не курятся. Зато видео даст фору любой статье с картинками. ImportFix хорошая тулза, но всё равно пилить и пилить еще руками до рабочего дампа

| Сообщение посчитали полезным:

Народ, а есть тут пипл который с мидой хорошой знаком?
Есть тут прога одна, она запускается нормально, но некоторые функции без лицензии не доступны, лицензия импортится из файла в что-то типа license manager, попробывал обнулить дворды на волшебном cmp ecx,eax - прога падает, валидной лицензии нету.
Вообще, тут есть смысл мучать её без валидной лицензии, или эти функции совсем покриватованны?

| Сообщение посчитали полезным:

http://forum.tuts4you.com/showtopic=25554&st=0

Themida - Winlicense 1.x - 2.x Multi PRO Edition 1.0 New unpack script and 7 how to use movie tutorial's

Posted 27 March 2011

Themida - Winlicense 1.x - 2.x Multi PRO Edition 1.0
****************************************************
( 1.) Unpacking of WinLicense & TheMida Targets
( 2.) Three Way Unpack Choice Possibilities x3
( 3.) Supports IAT Special Patch & ESP CRC Checking
( 4.) Use UIF or ImportsFixer or Script + DI Patch
( 5.) Code-En-Crypt Fixer
( 6.) Cryp-To-Code Fixer
( 7.) Version Identification
( 8.) Magic Jump Finder
( 9.) Manually Enable & Disable Option Choice
( 10.) VM OEP Finder xII + [Intelli Version]
( 11.) 500 Bytes Extra Stack-Anti-Dump Checking
( 12.) Master Direct API Code Patching
( 13.) TLS Callback Killer
( 14.) Choice To Break Close On HWID & TRIAL Stop
( 15.) Turbo Patching Mode
( 16.) VM WARE Fixer by quosego
( 17.) EXE & DLL Support with LoadDll
****************************************************

Attached File(s):

Themida - Winlicense 1.x - 2.x Multi PRO Edition 1.0 Tutorials.rar (13.28MB)
Themida - Winlicense 1.x - 2.x Multi PRO Edition 1.0.rar (23.75K)
Tutorial UnpackMe Set.rar (12.59MB)

| Сообщение посчитали полезным: valera_vv, Aqel

Статью на русском по распаковке Themida v2 кто-то встречал?
Никак найти не могу.

| Сообщение посчитали полезным:

ищу прогу на которой winlicense + xbundle и есть лицензия - желательно негромоздкую

| Сообщение посчитали полезным:

r99 могу подкинуть такую прогу

| Сообщение посчитали полезным:

Поделюсь своими наработками.
1. CPUID можно определить так. Прогоняете такой алго


Получаете массив из 8 символов, ищите его в секции Темиды. Находите, ставите бряк.
Как только поймали это будет определение CPUID в теле темиды, все, можно его подменять прямо тут.

2. Темида отлавливает изменение на диске в жертве с помощью процедуры MapViewOfFile. Обходится так.
a) Копируете сигнатуру MapViewOfFile из kernel32, ищите ее в памяти (Темида копирует системные библы в другое адресное пространство что бы нельзя было отловить бряки на системные функции.
b) После того как находите сигнатуру запоминаете ее адрес и ищете этот адрес в теле темиды.
с) Как только нашли адрес, туда можно вписывать ссылку на свою процедуру MapViewOfFile, которая будет возвращать неизмененный дамп, типа такого:



3) Импорт восстанавливать можно так
a) Находите по какому адресу загружена kernel32.dll
b) Ищете этот адрес в секции темиды и ставите на него бряк.
с) Бряк сработает на такой инструкции, а в EAX будет ссылка на реальную функцию импорта:



d) дальше можно поставить бряк на секцию кода, и подправить после записи туда и в ИАТ функцию. Написав небольшой скрипт это можно сделать на автомате и потом, стоя на ОЕП уже можно делать дамп.

4) Если есть ключ на любой хвид, то можно отвязать ключ от тачки. Достаточно изменить один дворд в секции темиды. Я делаю это путем сравнения 2-х дампов секции темиды с машины на которую пореган ключ и с левой машины.

-----
StarForce и Themida ацтой!

| Сообщение посчитали полезным: OKOB, _ruzmaz_, hlmadip, huckfuck, tihiy_grom, PE_Kill, -Sanchez-, ManHunter, obfuskator, shadow_user, yagello, daFix, Autokent

Ну и до кучи при расспаковке dll накрытой Темидой нужно будет восстановить релоки,так темида их непортит и они грузятся в память целым блоком ,грузим жертву и отпускаем её в свободное плавание и ищем комманду MOV [IBD + XXXXXXXX],EAX ну или любую другую которая без релоков робить небудет ставим бряк на запись и перезапускаем жмём F9 несколько раз пока невыйдем вот натокой код(процедура перестройки релоков)

останется только найти начало и её конец что думаю невызовит никаких затруднений.

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным: tihiy_grom, huckfuck, _ruzmaz_, obfuskator, daFix, neprovad, sivorog

Target : FontCreator v6.5

Tools: OllyDBG, EXEinfope, PEiD 0.95
RDG Packer Detector v0.6.7, DUP 2
Import REC , LordPE , ToPo
Imports Fixer 1.5

Method: Unpacking_Inline Patching by Api hooking

Level: ?


Made By: PerTic@n(Hamid-Pardazan)

Made Date : 30/11/2011
--------------
Part1(unpacking&cracking):
http://hotfile.com/dl/136383347/5f68a21/Part1_Unpacking_Cracking.rar.html
--
Part2(unpacking&cracking):
http://hotfile.com/dl/136421170/1f13426/Part2_Inline_Patching.rar.html
---
Target + inline patch:
http://hotfile.com/dl/136425769/9cc19bf/Target_Patch_InlinePatch.rar.html


References:
Themida Unpacking By hacnho

Themida + WinLicense 1.1.0.0 - 2.1.0.0 (Unpacking) By quosego(Snd Team)

Unpack WinLicense-TheMida 2.0.1.0 By LCF-AT (Snd Team)

Themida 2.0 Unpack Tut By Root(quequero.org)

Inline Patching Protected Applications (Hooking API Functions) By SubZero (Snd Team)

Themida Unpacking Tut By Joker_Italy

| Сообщение посчитали полезным: shadow_user, SReg, hlmadip

AKAB пишет:
Target : FontCreator v6.5
мдя... таргет с по-нубски навешаным протом взял, он там скорее как пугало просто
взял бы и снял с самой фимки...

| Сообщение посчитали полезным:

SReg да там как прот не вешай его все равно снять можно, даже VM можно убить общедоступными способами имея немного терпения.

P.S: Смотри подпись

-----
StarForce и Themida ацтой!

| Сообщение посчитали полезным:

Видео по настройке олли и плагинов под фимку+плагины+unpackmes
Tuts4You


http://vovan666.ifolder.ru/29673543

| Сообщение посчитали полезным:

Hello together,

so today I will release my new script about CRC fixing of TheMida WinLicense targets.So the script is very easy to use so you have almost nothing to do manually.Just run the script and thats all. I wrote it very user friendly of course.
********************************************
TheMida WinLicense CRC Fixer 1.0
********************************************

Why this script?

So maybe you will know it that TheMida / WinLicense used in the most cases a own CRC check feature to prevent manipulations of the protected files.So if you change something with the real file like adding a section etc then the TM WL protection will note this and you get a File Corrupted!...etc message.So in that case you have to find the new CRC offset & value to get your modded file working again.So if you can't unpack your TM WL target then you can still InLine the target.So if you want to InLine any target which used also a CRC check then you can use this script to get a new created CRC Fixed working file.So nothing will changed on the file just the CRC value.

TheMida WinLicense CRC Fixer 1.0
****************************************************
( 1.) Locate CRC Offset
( 2.) Protection Check of CISC and RISC
( 3.) Automatic CRC Fixed File Creator
( 4.) Supports Easy User Handling
( 5.) Supports Exe & Dll Files [dll at EP!]
( 6.) Supports CISC & RISC Protected Files
( 7.) Supports All TheMida & WinLicense Versions
****************************************************
I created a video tutorial where you can see how to use my script.I also added some UnpackMe's which you can also test.So then have fun and if something not works then post a reply on this topic.

PS: If you find any file where my script does not work etc then you can tell me!

greetz

TheMida WinLicense CRC Fixer 1.0 Tutorial

Password: EXELAB.RU

http://forum.tuts4you.com/topic/28909-themida-winlicense-crc-fixer-10/

ba97_26.04.2012_EXELAB.rU.tgz - TheMida WinLicense CRC Fixer 1.0.rar

| Сообщение посчитали полезным:

unpacker Themida --> UnThemida 3.0 <--

| Сообщение посчитали полезным:

schokk_m4ks1k пишет:
unpacker Themida
лол, автор просит сломать ему прогу для мобильника с Unsigned ключом армы. Деньжат захотелось?

| Сообщение посчитали полезным:

int
и unthemida 3 похожа на фейк

-----
От многой мудрости много скорби, и умножающий знание умножает печаль

| Сообщение посчитали полезным:

Да выкладывали уже эту unthemida много лет назад, насколько я помню ни у кого ни на чем не сработало.

| Сообщение посчитали полезным: DimitarSerg

м-да... когда ж LCF-AT свой скрипт выложит (я имею в виду TM WL VM OEP VM Info Log)

| Сообщение посчитали полезным:

а чем не устраивает анализатор в UnVirtualizer ?

| Сообщение посчитали полезным:

не, ну просто он видео выложил, показал и рассказал - а не повторишь.
потому как все на руках есть, кроме скрипта.

...я-то и с тем и с этим буду пробовать, а пока вот, мануалы разные курю.
моральной подготовкой занимаюсь, одним словом

| Сообщение посчитали полезным: