Сейчас на форуме: (+8 невидимых)

 eXeL@B —› Протекторы —› Распаковка Themida последних версий: туторы, скрипты, плагины.
<< . 1 . 2 . 3 . 4 . 5 . >>
Посл.ответ Сообщение

Ранг: 40.4 (посетитель), 3thx
Активность: 0.080
Статус: Участник

Создано: 03 октября 2010 09:17
· Личное сообщение · #1

Доброго время суток, в данной статье предлагаю размещать различные мануалы по снятию темиды, а также полезные программы и скрипты. Я знаю, что такая тема уже задавалась на кряклябе, но потом проект как-то заглох, да и темида уже давно обновилась. Ну чтож, в добрый путь, друзья!



Ранг: 441.3 (мудрец), 297thx
Активность: 0.410.04
Статус: Участник

Создано: 17 мая 2012 11:30
· Личное сообщение · #2

Как обезьянка повторять всё то, что было на видео - это не гуд.
Учитесь думать своими мозгами, а то постоянно будете паниковать, когда что-то не будет один в один совпадать с видео-тутором.

| Сообщение посчитали полезным: ClockMan, vnekrilov, Dart Raiden

Ранг: 15.9 (новичок), 2thx
Активность: 0.010
Статус: Участник

Создано: 18 мая 2012 19:31
· Личное сообщение · #3

Без наличия ключей *.dat распаковать Themida без вариантов?



Ранг: 49.7 (посетитель), 19thx
Активность: 0.050
Статус: Участник

Создано: 19 мая 2012 14:35 · Поправил: sivorog
· Личное сообщение · #4

ну там же не всегда криптованный код бывает, по идее...
вот, Maximus утверждает, что её можно заинлайнить, статью написал и пример дал,
http://exelab.ru/f/action=vthread&forum=13&topic=19415
и тогда пофигу что ключи, что без ключей
ну а если крипто, то, конечно, туго. ИМХО, как и с Аспротектовым крипто. тогда ключ нужен. хоть забаненный.

UPD

http://exelab.ru/f/action=vthread&forum=13&topic=17944&page=2#2



Ранг: 49.7 (посетитель), 19thx
Активность: 0.050
Статус: Участник

Создано: 08 июля 2012 17:47 · Поправил: sivorog
· Личное сообщение · #5

вот у меня такой вопрос:
- чтобы отсобачить секцию ВМ от работающего дампа,
чтоб он опять-таки работал ,
надо UnVirtualize сделать, так?
- чтобы UnVirtualizer ODBG plugin смог работать, надо деобфусцировать?
- а что именно деобфусцировать? то есть что-то в ВМ, какую-то область ВМ;
но как в каждом конкретном случае понять, что деобфусцировать, а что нет?
а может, не всегда надо деофусцировать?

я смотрел мувик "Risc Unpack Exsample" от LCF-AT, но мне не очевидно...

примером пусть будет Unpackme от SCTeam (см. аттач), там еще и Visual Basic'овские заморочки.
как я ни отрезал от него секцию ВМ - и EP менял, и дампил... ни фига обрезанный не хочет работать.

399a_08.07.2012_EXELAB.rU.tgz - 29.zip



Ранг: 189.9 (ветеран), 334thx
Активность: 0.30
Статус: Участник

Создано: 08 июля 2012 19:04
· Личное сообщение · #6

Так в этом анпакми оеп только восстановить нету там вм.



Ранг: 49.7 (посетитель), 19thx
Активность: 0.050
Статус: Участник

Создано: 08 июля 2012 19:12 · Поправил: sivorog
· Личное сообщение · #7

NikolayD

хорошо. как его восстановить?
я сделал трассировку от самого начала до конца, то есть от загрузки распакованного работающего exe в Олли
и до появления окошка.
~ 150 МБ лог трассировки, бегло просмотрел - там все в секции ВМ исполняется (нечто),
и в самом-самом конце

Code:
  1. 00401128 Main     JMP DWORD PTR DS:[<&msvbvm60.ThunRTMain>]
  2. ThunRTMain        Main   PUSH EBP   ESP=0013FFB8
  3. 729435A5 Main     MOV EBP,ESP  EBP=0013FFB8
  4. 729435A7 Main     PUSH -1      ESP=0013FFB4
  5. 729435A9 Main     PUSH msvbvm60.72959820         ESP=0013FFB0
  6. 729435AE Main     PUSH msvbvm60.72A2BCB9         ESP=0013FFAC
  7. 729435B3 Main     MOV EAX,DWORD PTR FS:[0]       EAX=0013FFE0
  8. 729435B9 Main     PUSH EAX     ESP=0013FFA8
  9. 729435BA Main     MOV DWORD PTR FS:[0],ESP
  10. 729435C1 Main     PUSH ECX     ESP=0013FFA4
  11. 729435C2 Main     PUSH ECX     ESP=0013FFA0
  12. 729435C3 Main     SUB ESP,4C   FL=A, ESP=0013FF54
  13. 729435C6 Main     PUSH EBX     ESP=0013FF50
  14. 729435C7 Main     PUSH ESI     ESP=0013FF4C
  15. 729435C8 Main     PUSH EDI     ESP=0013FF48
  16. 729435C9 Main     MOV DWORD PTR SS:[EBP-18],ESP
  17. 729435CC Main     MOV ESI,DWORD PTR SS:[EBP+8]   ESI=00410750
  18. 729435CF Main     MOV DWORD PTR DS:[72A4E870],ESI
  19. 729435D5 Main     AND DWORD PTR SS:[EBP-4],0     FL=PZ
  20. 729435D9 Main     LEA EAX,DWORD PTR SS:[EBP-60]  EAX=0013FF58
  21. 729435DC Main     PUSH EAX     ESP=0013FF44
  22. 729435DD Main     CALL DWORD PTR DS:[<&KERNEL32.GetStartupInfoA>]  FL=PS, ECX=7C802011, EDX=7C980600, ESP=0013FF48
  23. 729435E3 Main     MOVZX EAX,WORD PTR SS:[EBP-30] EAX=0000000A
  24. 729435E7 Main     MOV DWORD PTR DS:[72A4E86C],EAX
  25. 729435EC Main     PUSH DWORD PTR DS:[72A4E7D8]   ESP=0013FF44
  26. 729435F2 Main     PUSH ESI     ESP=0013FF40
  27. 729435F3 Main     MOV ESI,msvbvm60.72A4E470      ESI=72A4E470
  28. 729435F8 Main     MOV ECX,ESI  ECX=72A4E470
  29. 729435FA Main     NOP
  30. 729435FB Main     CALL msvbvm60.7294365C         FL=PZ, EAX=00000000, ECX=00E80000, EDX=7C90E514, EBX=00000000, ESP=0013EF1C, EBP=0013F010, ESI=00000000, EDI=00000000
  31. KiFastSystemCallRet        Main   RETN       ECX=00ED0000, ESP=0013EF20, EBP=0013F014
  32. KiFastSystemCallRet        Main   RETN       ECX=0013EEA0, ESP=0013EF04, EBP=0013EFF8
  33. KiFastSystemCallRet        Main   RETN       FL=0, EAX=0013EBFC, ECX=00000000, EDX=00000002, ESP=0013EBF0, EBP=0013ECE4
  34. KiFastSystemCallRet        Main   RETN       EAX=77E72140, ECX=77E7EA4E, EDX=7CBBB200, ESP=0013E8DC, EBP=0013E9D0
  35. KiFastSystemCallRet        Main   RETN       FL=PZ, EAX=00000000, ECX=00F10000, EDX=7C90E514, ESP=0013E330, EBP=0013E424
  36. KiFastSystemCallRet        Main   RETN       FL=0, EAX=00008000, ECX=0000D378, EDX=000000F0, ESP=0013E7B8, EBP=0013E8AC
  37. KiFastSystemCallRet        Main   RETN       FL=PZ, EAX=00000000, ECX=00F50000, EDX=7C90E514, ESP=0013E580, EBP=0013E674
  38. KiFastSystemCallRet        Main   RETN       EAX=7C903E94, ECX=7C929800, EDX=71AA2900, ESP=0013E250, EBP=0013E344
  39. KiFastSystemCallRet        Main   RETN       EAX=FFFFFFFF, ECX=00000002, EDX=00000065, ESP=0013F580, EBP=0013F674
  40. KiFastSystemCallRet        Main   RETN       FL=P, EAX=0013F394, ECX=7FFDE000, EDX=76376020, ESP=0013E83C, EBP=0013E930
  41. KiFastSystemCallRet        Main   RETN       EAX=C0000023, ECX=7C913F71, EDX=7C980600, ESP=0013EC98, EBP=0013ED8C
  42. KiFastSystemCallRet        Main   RETN       FL=PZ, EAX=00000000, ECX=00FE0000, EDX=7C90E514, ESP=0013ECAC, EBP=0013EDA0
  43. KiFastSystemCallRet        Main   RETN       ECX=01510000, ESP=0013F1E4, EBP=0013F2D8
  44. KiFastSystemCallRet        Main   RETN       ECX=003A025C, EDX=00392664, EBX=7FFDF000, ESP=0013FF48, EBP=0013FFB8, ESI=72A4E470, EDI=7C910228
  45. 72943600 Main     MOV DWORD PTR SS:[EBP-1C],EAX
  46. 72943603 Main     TEST EAX,EAX
  47. 72943605 Main     JL msvbvm60.7295FA1A
  48. 7294360B Main     PUSH 0       ESP=0013FF44
  49. 7294360D Main     PUSH 0       ESP=0013FF40
  50. 7294360F Main     PUSH 1069    ESP=0013FF3C
  51. 72943614 Main     CALL DWORD PTR DS:[<&KERNEL32.GetCurrentThreadId>]        EAX=00000E54
  52. 7294361A Main     PUSH EAX     ESP=0013FF38
  53. 7294361B Main     CALL DWORD PTR DS:[<&USER32.PostThreadMessageA>] FL=0, EAX=00000001, ECX=0013FF10, EDX=7C90E514, ESP=0013FF48
  54. 72943621 Main     LEA EAX,DWORD PTR SS:[EBP-64]  EAX=0013FF54
  55. 72943624 Main     PUSH EAX     ESP=0013FF44
  56. 72943625 Main     MOV ECX,ESI  ECX=72A4E470
  57. 72943627 Main     CALL msvbvm60.7294596B         EAX=00000001, ECX=0013FF54, ESP=0013FF48
  58. 7294362C Main     TEST EAX,EAX
  59. 7294362E Main     JE SHORT msvbvm60.72943644
  60. 72943630 Main     MOV EAX,DWORD PTR SS:[EBP-64]  EAX=00391FA4
  61. 72943633 Main     MOV ECX,DWORD PTR DS:[EAX+520] ECX=003937FC
  62. 72943639 Main     TEST ECX,ECX FL=P
  63. 7294363B Main     JE SHORT msvbvm60.72943644
  64. 7294363D Main     PUSH -1      ESP=0013FF44
  65. End of session


я поставил ОЕП на вызов ThunRTMain - н0ль эффекта.



Ранг: 189.9 (ветеран), 334thx
Активность: 0.30
Статус: Участник

Создано: 08 июля 2012 19:14 · Поправил: NikolayD
· Личное сообщение · #8

Руками очевидно )))

new: хех, вм всётаки есть D
Ну как-нибудь так:
Code:
  1. 0040112E PUSH 00410750
  2. 00401133 CALL <JMP.&msvbvm60.ThunRTMain>


| Сообщение посчитали полезным: sivorog

Ранг: 49.7 (посетитель), 19thx
Активность: 0.050
Статус: Участник

Создано: 08 июля 2012 19:37 · Поправил: sivorog
· Личное сообщение · #9

во! вот это я понимаю!
щас полезу разбираться, откуда взялся волшебный адрес

Code:
  1. PUSH 00410750


спасибо, NikolayD !

а всё-таки, что там насчет деобфускации? Archer как-то сказал, что, в принципе, она жить дампу не мешает. Обфускация -это ж вроде когда вместо 3-5 инструкций имеется 30-50, а эффект тот же ?

так когда ее надо делать? не в этом примере, а вообще на TM WL таргетах?

2def_08.07.2012_EXELAB.rU.tgz - 29_6.exe




Ранг: 2014.5 (!!!!), 1278thx
Активность: 1.340.25
Статус: Модератор
retired

Создано: 08 июля 2012 23:00
· Личное сообщение · #10

Сама по себе обфускация не мешает дампу работать, но есть ньансы.
1. РИСК располагается обычно в динамически аллоченой памяти, и в дамп не попадёт.
2. В ВМ могут быть антидампы с проверкой разных мест, типа хедера, стека и тд, что не будет работать в дампе.



Ранг: 35.1 (посетитель), 32thx
Активность: 0.040.01
Статус: Участник

Создано: 09 июля 2012 06:26
· Личное сообщение · #11

В связи с заменой wrapper-а GOTD и переходом на Themida, ищется простой способ получения сетапного экзешника. Поскольку пакуется один файл, задача не должна быть слишком сложной. Кто-нибудь из мэтров гляньте на любую раздачу с http://ru.giveawayoftheday.com, есть ли какие-либо приемлемые варианты.



Ранг: 189.9 (ветеран), 334thx
Активность: 0.30
Статус: Участник

Создано: 10 июля 2012 01:40
· Личное сообщение · #12

Скачал самое маленькое AgataSoft HotKey Manager, так не Themida. А самый простой способ это найти бесплатные аналоги )))



Ранг: 35.1 (посетитель), 32thx
Активность: 0.040.01
Статус: Участник

Создано: 10 июля 2012 07:52
· Личное сообщение · #13

Переход на фимку начался, ориентировочно, с 5 июля, а AgataSoft HotKey Manager был 30 июня, wrapper был старый. Поглядите, скажем, на Smart Audio Editor Personal 6.0. Народ уже бухтит, что не у всех нормально устанавливается, лезут ошибки, GOTD-шники просят сообщать о таких случаях и сулят все исправить.



Ранг: 49.7 (посетитель), 19thx
Активность: 0.050
Статус: Участник

Создано: 19 июля 2012 10:17
· Личное сообщение · #14

вот может ли такой код

Code:
  1. 00D3F254  -E9 83563400      JMP proga.010848DC
  2. 00D3F259   0000             ADD BYTE PTR DS:[EAX],AL
  3. 00D3F25B   0080 2B109B5B    ADD BYTE PTR DS:[EAX+5B9B102B],AL
  4. 00D3F261   F2:              PREFIX REPNE:                            ; Superfluous prefix
  5. 00D3F262   DDDA             FSTP ST(2)
  6. 00D3F264   C642 5D 6B       MOV BYTE PTR DS:[EDX+5D],6B
  7. 00D3F268  ^7E BE            JLE SHORT proga.00D3F228
  8. 00D3F26A   D93A             FSTCW WORD PTR DS:[EDX]
  9. 00D3F26C   C7               ???                                      ; Unknown command
  10. 00D3F26D   93               XCHG EAX,EBX
  11. 00D3F26E   A0 E9DAE02C      MOV AL,BYTE PTR DS:[2CE0DAE9]
  12. 00D3F273  ^76 C6            JBE SHORT proga.00D3F23B
  13. 00D3F275   4C               DEC ESP
  14. 00D3F276   CC               INT3
  15. 00D3F277   58               POP EAX
  16. 00D3F278   5B               POP EBX
  17. 00D3F279   D18A 50096F6C    ROR DWORD PTR DS:[EDX+6C6F0950],1
  18. 00D3F27F   45               INC EBP
  19. 00D3F280   73 65            JNB SHORT proga.00D3F2E7
  20. 00D3F282   3828             CMP BYTE PTR DS:[EAX],CH
  21. 00D3F284   8B11             MOV EDX,DWORD PTR DS:[ECX]
  22. 00D3F286   9F               LAHF
  23. 00D3F287   8E16             MOV SS,WORD PTR DS:[ESI]                 ; Modification of segment register
  24. 00D3F289   6C               INS BYTE PTR ES:[EDI],DX                 ; I/O command
  25. 00D3F28A   63D9             ARPL CX,BX
  26. 00D3F28C   E6 59            OUT 59,AL                                ; I/O command
  27. 00D3F28E   808D 1E433A7B 40 OR BYTE PTR SS:[EBP+7B3A431E],40
  28. 00D3F295   E7 64            OUT 64,EAX                               ; I/O command
  29. 00D3F297   C13B 79          SAR DWORD PTR DS:[EBX],79                ; Shift constant out of range 1..31
  30. 00D3F29A   CD 2E            INT 2E
  31. 00D3F29C   3F               AAS
  32. 00D3F29D   5A               POP EDX
  33. 00D3F29E   35 C87BBE21      XOR EAX,21BE7BC8
  34. 00D3F2A3   0000             ADD BYTE PTR DS:[EAX],AL
  35. 00D3F2A5   0000             ADD BYTE PTR DS:[EAX],AL
  36. 00D3F2A7   0097 60CFAF89    ADD BYTE PTR DS:[EDI+89AFCF60],DL
  37. 00D3F2AD   32E6             XOR AH,DH
  38. 00D3F2AF   D87439 90        FDIV DWORD PTR DS:[ECX+EDI-70]
  39. 00D3F2B3   0E               PUSH CS
  40. 00D3F2B4   66:69A5 D54C87BE>IMUL SP,WORD PTR SS:[EBP+BE874CD5],0C7AE
  41. 00D3F2BD   B0 9B            MOV AL,9B
  42. 00D3F2BF   61               POPAD
  43. 00D3F2C0   BA 25C93353      MOV EDX,5333C925
  44. 00D3F2C5   B2 BF            MOV DL,0BF
  45. 00D3F2C7   4D               DEC EBP
  46. 00D3F2C8   D8FC             FDIVR ST,ST(4)
  47. 00D3F2CA   F8               CLC
  48. 00D3F2CB   5C               POP ESP
  49. 00D3F2CC   E4 C7            IN AL,0C7                                ; I/O command
  50. 00D3F2CE   8F               ???                                      ; Unknown command
  51. 00D3F2CF   4F               DEC EDI
  52. 00D3F2D0   B9 DF17594C      MOV ECX,4C5917DF
  53. 00D3F2D5   41               INC ECX
  54. 00D3F2D6   FD               STD
  55. 00D3F2D7   4C               DEC ESP
  56. 00D3F2D8   44               INC ESP
  57. 00D3F2D9   8D96 CFE7884E    LEA EDX,DWORD PTR DS:[ESI+4E88E7CF]
  58. 00D3F2DF   AD               LODS DWORD PTR DS:[ESI]
  59. 00D3F2E0   AD               LODS DWORD PTR DS:[ESI]
  60. 00D3F2E1   68 266AD26D      PUSH 6DD26A26
  61. 00D3F2E6   92               XCHG EAX,EDX
  62. 00D3F2E7   3F               AAS
  63. 00D3F2E8   BE DDE4FBBF      MOV ESI,BFFBE4DD
  64. 00D3F2ED  ^7F 88            JG SHORT proga.00D3F277
  65. 00D3F2EF   0F546C00 00      ANDPS XMM5,DQWORD PTR DS:[EAX+EAX]
  66. 00D3F2F4   0000             ADD BYTE PTR DS:[EAX],AL
  67. 00D3F2F6   00AE 40712DB3    ADD BYTE PTR DS:[ESI+B32D7140],CH
  68. 00D3F2FC   2285 F7323995    AND AL,BYTE PTR SS:[EBP+953932F7]
  69. 00D3F302  ^E0 9A            LOOPDNE SHORT proga.00D3F29E
  70. 00D3F304   BB 991B5C91      MOV EBX,915C1B99
  71. 00D3F309   BB 9849CDDC      MOV EBX,DCCD4998
  72. 00D3F30E   B9 3D368781      MOV ECX,8187363D
  73. 00D3F313   4D               DEC EBP
  74. 00D3F314   27               DAA
  75. 00D3F315   68 EA019D5A      PUSH 5A9D01EA
  76. 00D3F31A   5D               POP EBP
  77. 00D3F31B   D19C2F 23306F13  RCR DWORD PTR DS:[EDI+EBP+136F3023],1
  78. 00D3F322   36:F3:           PREFIX REP:                              ; Superfluous prefix
  79. 00D3F324   E4 4B            IN AL,4B                                 ; I/O command
  80. 00D3F326   3B9A 699AA461    CMP EBX,DWORD PTR DS:[EDX+61A49A69]
  81. 00D3F32C   102D 43BBD933    ADC BYTE PTR DS:[33D9BB43],CH
  82. 00D3F332   81D3 D58C8CAD    ADC EBX,AD8C8CD5
  83. 00D3F338   68 AD6233E7      PUSH E73362AD
  84. 00D3F33D   93               XCHG EAX,EBX
  85. 00D3F33E   BE 39F19691      MOV ESI,9196F139
  86. 00D3F343   3323             XOR ESP,DWORD PTR DS:[EBX]
  87. 00D3F345   6C               INS BYTE PTR ES:[EDI],DX                 ; I/O command
  88. 00D3F346   0000             ADD BYTE PTR DS:[EAX],AL
  89. 00D3F348   0000             ADD BYTE PTR DS:[EAX],AL
  90. 00D3F34A   00AE 803997C5    ADD BYTE PTR DS:[ESI+C5973980],CH
  91. 00D3F350   2C 0C            SUB AL,0C
  92. 00D3F352   16               PUSH SS
  93. 00D3F353   3304B3           XOR EAX,DWORD PTR DS:[EBX+ESI*4]
  94. 00D3F356   16               PUSH SS
  95. 00D3F357   B2 BC            MOV DL,0BC
  96. 00D3F359   42               INC EDX
  97. 00D3F35A   4C               DEC ESP
  98. 00D3F35B   9B               WAIT
  99. 00D3F35C   33DA             XOR EBX,EDX
  100. 00D3F35E   56               PUSH ESI
  101. 00D3F35F   AA               STOS BYTE PTR ES:[EDI]
  102. 00D3F360   A9 A2606F47      TEST EAX,476F60A2
  103. 00D3F365   3BCC             CMP ECX,ESP
  104. 00D3F367   DA0CAD 68697745  FIMUL DWORD PTR DS:[EBP*4+45776968]
  105. 00D3F36E   CB               RETF                                     ; Far return
  106. 00D3F36F   3229             XOR CH,BYTE PTR DS:[ECX]
  107. 00D3F371   1F               POP DS                                   ; Modification of segment register
  108. 00D3F372   F7               ???                                      ; Unknown command
  109. 00D3F373   8DC2             LEA EAX,EDX                              ; Illegal use of register
  110. 00D3F375   26:B6 F2         MOV DH,0F2                               ; Superfluous prefix
  111. 00D3F378   92               XCHG EAX,EDX
  112. 00D3F379   D9BA A5787438    FSTCW WORD PTR DS:[EDX+387478A5]
  113. 00D3F37F  ^78 E8            JS SHORT proga.00D3F369
  114. 00D3F381   43               INC EBX
  115. 00D3F382   3373 00          XOR ESI,DWORD PTR DS:[EBX]
  116. 00D3F385   1D AF657740      SBB EAX,407765AF
  117. 00D3F38A  ^70 DA            JO SHORT proga.00D3F366
  118. 00D3F38C   8B4B E9          MOV ECX,DWORD PTR DS:[EBX-17]
  119. 00D3F38F   C502             LDS EAX,FWORD PTR DS:[EDX]               ; Modification of segment register
  120. 00D3F391   1300             ADC EAX,DWORD PTR DS:[EAX]
  121. 00D3F393   0000             ADD BYTE PTR DS:[EAX],AL
  122. 00D3F395   0000             ADD BYTE PTR DS:[EAX],AL
  123. 00D3F397   FC               CLD
  124. 00D3F398   3214B7           XOR DL,BYTE PTR DS:[EDI+ESI*4]
  125. 00D3F39B   6357 C7          ARPL WORD PTR DS:[EDI-39],DX
  126. 00D3F39E   4E               DEC ESI
  127. 00D3F39F  ^74 90            JE SHORT proga.00D3F331
  128. 00D3F3A1   03A6 05ECD175    ADD ESP,DWORD PTR DS:[ESI+75D1EC05]


быть на самом деле виртуализованным?
UV что версии 1.2, что версии 1.5 выводит порядка 60 референсов, но по большинчтву из них имеется классический код, видимо пресловутые антидампы.
меня смущает обилие незнакомых команд
компилятор - VC++, QT



Ранг: 81.6 (постоянный), 102thx
Активность: 0.060.02
Статус: Участник

Создано: 19 июля 2012 16:32
· Личное сообщение · #15

GMAP
Themida там навешана лишь как упаковщик, чтобы не лазили любопытные. А сам враппер аккуратно размазывает инсталлятор частями по диску и в памяти, имхо, копать надо в этом направлении.



Ранг: 35.1 (посетитель), 32thx
Активность: 0.040.01
Статус: Участник

Создано: 19 июля 2012 17:42
· Личное сообщение · #16

Это все понятно, вопрос в практической реализации сборки размазанного инсталлятора.




Ранг: 392.8 (мудрец), 108thx
Активность: 0.260.01
Статус: Участник
REVENGE сила, БеХоЦе могила

Создано: 28 августа 2012 14:32 · Поправил: Maximus
· Личное сообщение · #17

>Это все понятно, вопрос в практической реализации сборки размазанного инсталлятора.

Анврапер написал. Я так понял там можно и статик сделать, потому как ключ очень маленький (вроде как word). Но ковыряться особо неохота.

А так можно вытащить примерно так:

1. Тип: Activator.exe:
a) бряк на VirtualProtectEx
b) при срабатывании ищем сигнатуру '558BEC6AFF68????????64A1000000005083EC10', ставим бряк
с) при срабатывании в eax лежит начало ключевого файла, в edx длина, сохраняем рег.файл на диск.

2. Тип: Setup.exe:
a) бряк на ZwWriteVirtualMemory
b) при срабатывании если это данные программы пишем буфер в копию setup.exe файла
с) потом загружаем полученный из пунктов a) и b) setup.exe и инжектим туда dll врапера
d) выполняем внутри процесса код:
Code:
  1. sFile:=CreateFileA('Setup.exe', GENERIC_READ, FILE_SHARE_READ, nil, OPEN_EXISTING, 0, 0);
  2. SetFilePointer(sFile,0,nil,FILE_END)

e) Если полученный таким образом размер файла больше, чем сохраненный exe, значит у файла есть оверлей, вытаскиваем его таким кодом:
Code:
  1. dFile=CreateFile('Setup.exe_copy',GENERIC_READ or GENERIC_WRITE, 0, nil, OPEN_EXISTING, 0, 0);
  2. ReadFile(sFile,buffer,Size, bwr,nil);
  3. WriteFile(dFile, buffer, Size, bwr, nil);
  4. CloseHandle(dFile);
  5. CloseHandle(sFile);


-----
StarForce и Themida ацтой!




Ранг: 189.9 (ветеран), 334thx
Активность: 0.30
Статус: Участник

Создано: 08 октября 2012 13:20
· Личное сообщение · #18

Тутор новый --> TheMida - WinLicense HWID CISC & RISC Find Bypass & InLine Tut <--. Может кто-нибудь перезалить?

P.S. Тему не мешало бы закрепить.

| Сообщение посчитали полезным: schokk_m4ks1k

Ранг: 617.3 (!), 677thx
Активность: 0.540
Статус: Участник

Создано: 08 октября 2012 13:40
· Личное сообщение · #19

NikolayD
http://rghost.ru/40807563
http://rghost.ru/40807576
hjsplit-http://rghost.ru/40807581

| Сообщение посчитали полезным: schokk_m4ks1k, NikolayD

Ранг: 329.6 (мудрец), 192thx
Активность: 0.140.01
Статус: Участник

Создано: 08 октября 2012 13:54
· Личное сообщение · #20

NikolayD пишет:
TheMida - WinLicense HWID CISC & RISC Find Bypass & InLine Tut


Скачал по ссылкам от Vovan666, но архив почему-то оказался битым, и не распаковывается WinRAR. Это у всех так, или я не везучий.




Ранг: 57.3 (постоянный), 67thx
Активность: 0.060
Статус: Участник

Создано: 08 октября 2012 13:56 · Поправил: -Sanchez-
· Личное сообщение · #21

del



Ранг: 617.3 (!), 677thx
Активность: 0.540
Статус: Участник

Создано: 08 октября 2012 13:57
· Личное сообщение · #22

vnekrilov
Их нужно склеить. Правда через hjsplit у меня не получилось.

одним архивом
http://rghost.ru/40807791

| Сообщение посчитали полезным: vnekrilov

Ранг: 441.3 (мудрец), 297thx
Активность: 0.410.04
Статус: Участник

Создано: 08 октября 2012 14:26
· Личное сообщение · #23

TotalCommander'ом отлично склеиваются

| Сообщение посчитали полезным: DimitarSerg


Ранг: 527.7 (!), 381thx
Активность: 0.160.09
Статус: Участник
Победитель турнира 2010

Создано: 08 октября 2012 15:39
· Личное сообщение · #24

по старинке

copy /b file.001.rar+file.002.rar file.rar

-----
127.0.0.1, sweet 127.0.0.1




Ранг: 189.9 (ветеран), 334thx
Активность: 0.30
Статус: Участник

Создано: 08 октября 2012 20:05
· Личное сообщение · #25

Ну Вы, блин, даёте! (с) Достаточно расширение убрать раровское )

| Сообщение посчитали полезным: yagello

Ранг: 30.1 (посетитель)
Активность: 0.070
Статус: Участник

Создано: 12 октября 2012 19:18 · Поправил: Kuzya69
· Личное сообщение · #26

Прошу прощения.
В сообщении №22, на первой странице, Vovan666, давал две ссылки. Но чего-то обе они удаленные. Нельзя еще раз загрузить куда-нибудь?



Ранг: 129.0 (ветеран), 116thx
Активность: 0.060
Статус: Участник

Создано: 12 октября 2012 19:49
· Личное сообщение · #27

Kuzya69 пишет:
Прошу прощения.В сообщении №22, на первой странице, Vovan666, давал две ссылки. Но чего-то обе они удаленные. Нельзя еще раз загрузить куда-нибудь?

Держи
--> Link <--

-----
We do what we want because we can.




Ранг: 441.3 (мудрец), 297thx
Активность: 0.410.04
Статус: Участник

Создано: 12 октября 2012 19:50
· Личное сообщение · #28

Kuzya69
достаточно просто залогиниться на форуме tuts4you



Ранг: 30.1 (посетитель)
Активность: 0.070
Статус: Участник

Создано: 12 октября 2012 20:46
· Личное сообщение · #29

verdizela
Спасибо, но я хотел с первой страницы.
tihiy_grom
Тоже спасибо, за "наводку", просто глянул ссылку на тутс, смотрю пусто, а войти не догадался, заклинило. Раньше все время автоматом входил.




Ранг: 35.4 (посетитель), 15thx
Активность: 0.020
Статус: Участник

Создано: 17 октября 2012 09:30
· Личное сообщение · #30

Кто-нибудь может поделиться примером exe с RISC вариантом вм? На CISC вариантах плагин unvirtualizer справляется обычно всегда а с RISC какой-то ступор. Собственно и второй вопрос - у кого-нибудь получалось заставить работать плагин на RISC объектах?



Ранг: 329.6 (мудрец), 192thx
Активность: 0.140.01
Статус: Участник

Создано: 17 октября 2012 12:19
· Личное сообщение · #31

neprovad пишет:
На CISC вариантах плагин unvirtualizer справляется обычно всегда


К большому сожалению- не всегда. Мне попадалось несколько программ, где на отдельных подпрограммах этот плагин давал сбой. Одно хорошо, что плагин выдает текстовый файл с восстановленными инструкциями. Приходиться вручную находить сбойное место, и записывать нужную инструкцию, после чего с помощью прекрасного плагина MUltimate Assembler вставлять восстановленный код на нужное место.

| Сообщение посчитали полезным: ClockMan
<< . 1 . 2 . 3 . 4 . 5 . >>
 eXeL@B —› Протекторы —› Распаковка Themida последних версий: туторы, скрипты, плагины.
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати