Доброго время суток, в данной статье предлагаю размещать различные мануалы по снятию темиды, а также полезные программы и скрипты. Я знаю, что такая тема уже задавалась на кряклябе, но потом проект как-то заглох, да и темида уже давно обновилась. Ну чтож, в добрый путь, друзья!

| Сообщение посчитали полезным:

vnekrilov
На моих файлах обычно справлялся, даже когда тупил в конкретных инструкциях то из Cisc_Vo_Syntax.txt удавалось воссоздать оригинал. А на RISC просто отказывается находить даже вход в вм. Вот и ищу хоть что-то на чем можно потренироваться.

| Сообщение посчитали полезным:

а у меня другой вопрос: вот есть распакованный работающий дамп, в котором украдена ОЕП.
зато восстановлена ВМ ОЕП с помощью скрипта от quosego & LCF-AT.
Вопрос: как восстановить спертые байты с ОЕП?
есть ли (более-менее) общий подход?
примерчег: см. аттач

З.Ы. я обычно 1) создаю рабочий дамп
2) вычищаю мусор из ВМ-ской секции - забиваю 00 00 00h
3) пытаюсь восстановить ОЕП в секции кода

0380_17.10.2012_EXELAB.rU.tgz - ok.exe_dump39.zip

| Сообщение посчитали полезным:

sivorog пишет:
Вопрос: как восстановить спертые байты с ОЕП?

Темида имеет очень интересные свойства. Мне попадались для распаковки программы с украденной OEP. Если внимательно посмотреть на вызовы VM, то можно найти вызов VM, в которой выполняется украденный код OEP. Восстановив это код с помощью унвиртуализатора, я получал полностью восстановленный код OEP, который копипастил на родное место. И все получается отлично.

| Сообщение посчитали полезным:

sivorog
выложи оригинал чтоль

| Сообщение посчитали полезным:

neprovad, RISC в ветке виртуалайзера на тутсах есть.

| Сообщение посчитали полезным: neprovad

neprovad
а зачем оригинал? дамп ведь работает, там та же ВМ, те же заморочки...

З.Ы. хотя ладно
http://rghost.ru/41013427 (1,6 МБ)

vnekrilov
по идее же, выполнение этих спертых команд должно происходить непосредственно перед (или незадолго до) перехода из ВМ в секцию кода?

| Сообщение посчитали полезным:

sivorog пишет:
непосредственно перед (или незадолго до) перехода из ВМ в секцию кода

Точно.

| Сообщение посчитали полезным:

vnekrilov
а что именно надо понимать под вызовами ВМ?
как в этой каше разобраться

| Сообщение посчитали полезным:

sivorog пишет:
а что именно надо понимать под вызовами ВМ?

Вызовы VM обычно имеют вид:
PUSH Address
JMP Address VM

При краже байтов с OEP, я встречался с двумя случаями:
1. Весь украденный код с OEP выполняется с одного захода, и программа останавливается на первой инструкции, после выхода из VM.
2. Начало OEP выполняется в VM, затем выполняется какая-то подпрограмма из кода программы, а затем снова идет вход в VM. И таких входов в VM, при выполнении кода OEP, я встречал до 5 штук.

Во втором случае все получается легко. Достаточно записать условный прыжок в любом месте кода программы на VM, запустить плагин Oreans UnVirtualizer, и он восстанавливает полностью весь украденный код, хотя он и разбит на несколько отдельных частей. Такой код просто копируется, и вставляется с помощью Multiline Ultimate Assembler.

В первом случае немного сложнее - надо перебрать несколько входов в VM, и попытаться восстановить оригинальный код с помощью плагина Oreans UnVirtualizer. И вы обязательно найдете тот вход в VM, который и восстанавливает украденный код OEP. Причем, все остальные входы в VM выполняются после выполнения программой кода OEP, и только один или несколько входов в VM выполняют код OEP. Здесь просто нужно немного попрактиковаться на распаковке разных программ, для получения необходимого опыта, а дальше все будет проходить достаточно легко.

| Сообщение посчитали полезным: sivorog, SReg

А вот такой вопросик: при попытке просто загрузить в Олли таргет "WinLicense 2.0.8.0 UnpackME_prot.exe"
(1,83 МБ, MD5 = D7E13014DCB2646CBC4189633B6A9345 )
вылезает эксепшн 3 штуки, и Ольга вылетает.
причём, я заменил в ollydbg.ini имена драйверов Стронга и Фантома - то же самое.
во вкладке Exceptions поставил игнор всех исключений.
как еще можно настроить плагины, не подскажете?
Win XP SP3

таргет: http://rghost.ru/41149571 -- 1,8 МБ

f650_25.10.2012_EXELAB.rU.tgz - pic.zip

UPD 5.12.12
в другую папку положил таргет - всё пучком...

| Сообщение посчитали полезным:

Unpacking Themida 2.0.3.0 with script

http://www.4shared.com/rar/Az_aqYh2/ugnk.html

| Сообщение посчитали полезным:

AKAB пишет:
http://www.4shared.com/rar/Az_aqYh2/ugnk.html
Тебя бы забанить на пару дней за такие обменники. Хоть бы других уважал

| Сообщение посчитали полезным: verdizela, Abraham

AKAB пишет:
Unpacking Themida 2.0.3.0 with script

http://www.4shared.com/rar/Az_aqYh2/ugnk.html
--> Первоисточник <--

| Сообщение посчитали полезным:

Хрень какая-то. Ну, ок, делаешь ты ролик. Нах фпс ставить в районе 10-15? Автор сам это смотреть пробовал? кг/ам.

| Сообщение посчитали полезным:

schokk_m4ks1k пишет:
http://forum.tuts4you.com/topic/30580-unpacking-themida-2030-with-script/
Б-гы-гы-гы, в следующей серии будет фильм как открывать Olly и какие кнопки нажимать...

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

мдя... ниччего нового даже для меня.

я тут получше нарыл тутор, как восстанавливать спертые байты с ОЕП.
http://rghost.ru/42031646 (12 МБ)
только он такой ядерный, или ядреный... у мну глаза раскорячились, пока смотрел
зато, по идее, должен работать на всех версиях темиды, и возможно на других протах.
вдруг кому пригодится...

| Сообщение посчитали полезным:

тут тоже что то по фимке есть (правда на китайском ) возможно кому то и поможет!
--> 1 часть <--
--> 2 часть <--
--> 3 часть <--
--> 4 часть <--

| Сообщение посчитали полезным: queyron

Есть проблема с софтом, упакован Themida 1.8 и по секциям и при дампе видно что Themida. Объясните как мне ее снять с помощью выложенных тут утилит?

| Сообщение посчитали полезным:

queyron
а что именно тебе непонятно?
1) берешь ольгу,
2) настраиваешь её, (защита от антиотладки, другие плагины),
3) пробуешь 3-4 анпакмиса распаковать,
4) потом пробуешь распаковать свою прогу.
выложи файл

и потом, ты уверен, что именно версия 1.8 ? Темида любит обманывать анализаторы типа PEiD.

З.Ы. я начинал не с китайскоязычных мануалов, а с туторов quosego & LCF-AT, на tuts4you ищи

| Сообщение посчитали полезным: queyron

sivorog пишет:
и потом, ты уверен, что именно версия 1.8 ? Темида любит обманывать анализаторы типа PEiD.
Не уверен, но наверное там мб 2.0
Можно подробнее какие плагины для оли и можно ли дампнуть программу?
http://rghost.ru/46805914

| Сообщение посчитали полезным:

queyron пишет:
Можно подробнее какие плагины для оли и можно ли дампнуть программу?
Тебе уже ответили на этот вопрос. Нужно пойти на форум tuts4you и посмотреть туторы. Какие плагины нужны, как настроить их, и как "дампануть" программу - там все есть!

| Сообщение посчитали полезным:

queyron пишет:
Научи английскому дядя
С таким подходом ты хочеш чемуто научится?

-----
We do what we want because we can.

| Сообщение посчитали полезным:

queyron пишет:
http://rghost.ru/46805914
--> Unpacked+Cracked <--

| Сообщение посчитали полезным: queyron

Почему тему не прикрепили до сих пор?

so today I wanna release a new tutorial about the popular theme TheMida - WinLicense.So I see there seems to be still some open questions mostly if my older unpack script does not work anymore and the unpacked files too etc.So this time I decided to create a little video series how to unpack and deal with a newer protected TheMida target manually where my older public script does fail.A friend of me did protect UnpackMe's for this and in the tutorial you will see all steps from A-Z to get this UnpackMe successfully manually unpacked but this is only one exsample how you can do it of course.So the tutorial [videos + text tutorial] is very long and has a runtime of more than three hours and of course it will be necessary that you also read the text parts I made at the same time if possible but if you are already a advanced user then you will have it easier than a newbie.So I hope that you have enough patience to work through by the whole tutorial.

So the main attention I set on all things which happen after normal unpacking so the unpack process is the simplest part and all what comes after is the most interesting part and how to deal with all problems that happen.It's more or less like a live unpack session.

I also wrote some small basic little helper scripts which you can also use for other targets to get valuable informations if you need.

- Unpacking
- Exception analysing
- VM analysing with UV plugin
- AntiDump's find & fixing & redirecting "after fix method"
- Testing on other OS

My Special Thanks goes to Lostin who made this UnpackMe and others + OS's tests.Also I wanna send a thank you to Deathway again for creating this very handy and helpfully UV plugin.

So that's all from me now what I have to say about the tutorial so far.Just watch and read and then try it by yourself.Oh and by the way I record 10 videos and not only 1. If something does not work or you have any problems with this tutorial etc then ask on this topic only if possible and don't send me tons of PM's etc ok.Thank you in advance.

PS: Oh and before someone has again something to complain because of my tutorial style [goes to quickly or is bad or whatever] then I just wanna say,maybe you're right so normaly I don't like to create & write tutorials etc so this is really not my thing so keep this in your mind.

--> TheMida WinLicense Manually Unpack Tutorial Exsample by LCF-AT (51.42MB) <--

| Сообщение посчитали полезным: cadet, sivorog, neoBlinXaker, msvc

Может быть кто-то сталкивался с такой VM в Themida:



Какая-то новая реализация - идет подряд два PUSH, и затем прыжок на VM. Если кто-то сталкивался, то как с нею работать?

| Сообщение посчитали полезным:

Если поглядеть на сайте, в последних версиях запилили несколько новых ВМ: Fish и Tiger, внутри они какие-то разноцветные ещё: Black, White, Red. Но сами вм не смотрел ещё. Возможно, это они.

| Сообщение посчитали полезным: vnekrilov

LCF-AT выложила свой новый скрипт для распаковки Themida, в том числе и последних версий с обновленной виртуальной машиной. К этому скрипту также приложено несколько туториалов. Общий объем материала - 83 МБ. Ссылка на скачивание - http://www.sendspace.com/file/j50v8i ссылка на тутси - http://forum.tuts4you.com/topic/34085-themida-winlicense-ultra-unpacker-10/?view=findpost&p=157240&hl=%2Bthemida+%2Bwinlicense+%2B1.x+%2B2.x+%2Bmulti+%2Bpro+%2Bedition

| Сообщение посчитали полезным: CyberGod, daFix, Hellspawn, shadow_user, SReg, nick8606, mak, AKAB, icerix, Vnv, sivorog, evgpav, Jaa, zNob

Я попробовал распаковать с помощью скрипта "Themida - Winlicense Ultra Unpacker 1.0" одну программу, упакованную последней версией Themida, и в нескольких местах я получил ошибки. Пришлось доработать скрипт следующим образом:

1. При снятом флажке на опции OllyDbg "Show default segments" (такая настройка мне нужна для вставки кода на его родное место с помощью плагина Multiline Ultimate Assembler), вкладка "Disasm", не работает эта часть скрипта:



Я доработал скрипт следующим образом:

a) Было:



Стало:



b) Было:



Стало:



2. При поиске VM OEP STOP появляется ошибка - breakpoint in [address] is delete. Причина появления этой ошибки находится здесь:



Я доработал эту часть скрипта так:



А здесь внес следующие исправления:

a) Было:



b) Стало:



Я полагаю, что эти исправления будут полезны для пользователей этого прекрасного скрипта.

| Сообщение посчитали полезным: CyberGod, Gideon Vi, DimitarSerg, Jaa

на тутс4ю может запостить? чтобы автор внесла коррективы

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn пишет:
чтобы автор внесла коррективы

Я туда тоже отправил.

| Сообщение посчитали полезным: