Сейчас на форуме: (+8 невидимых)

 eXeL@B —› Протекторы —› Распаковка Themida последних версий: туторы, скрипты, плагины.
<< . 1 . 2 . 3 . 4 . 5 . >>
Посл.ответ Сообщение

Ранг: 40.4 (посетитель), 3thx
Активность: 0.080
Статус: Участник

Создано: 03 октября 2010 09:17
· Личное сообщение · #1

Доброго время суток, в данной статье предлагаю размещать различные мануалы по снятию темиды, а также полезные программы и скрипты. Я знаю, что такая тема уже задавалась на кряклябе, но потом проект как-то заглох, да и темида уже давно обновилась. Ну чтож, в добрый путь, друзья!



Ранг: 88.2 (постоянный), 58thx
Активность: 0.110.04
Статус: Участник

Создано: 22 января 2014 15:25
· Личное сообщение · #2

А как Девиртуализироват новую Фимку?



Ранг: 315.1 (мудрец), 631thx
Активность: 0.30.33
Статус: Модератор
CrackLab

Создано: 22 января 2014 15:59
· Личное сообщение · #3

разобрать вм и написать девиртуализатор

| Сообщение посчитали полезным: vnekrilov

Ранг: 329.6 (мудрец), 192thx
Активность: 0.140.01
Статус: Участник

Создано: 23 января 2014 09:50
· Личное сообщение · #4

SReg пишет:
разобрать вм и написать девиртуализатор


В последней версии Themida разработчики внесли некоторые изменения в вызов VM, Handler's и адреса р-кода. В вызове VM теперь принимают участие две инструкции PUSH, а затем идет JMP на VM. К Handler's и адресам р-кода теперь прибавляется ImageBase программы. Поэтому прекрасный плагин UnVirtualizer здесь не работает, поскольку он заточен под другие параметры VM. Автор уже год как пропал на тутсях. Может быть проснется, а может быть и нет.



Ранг: 26.9 (посетитель), 1thx
Активность: 0.050.01
Статус: Участник

Создано: 22 февраля 2014 20:59
· Личное сообщение · #5

vnekrilov пишет:
При поиске VM OEP STOP появляется ошибка - breakpoint in [address] is delete.

В этом случае LCF-AT рекомендует закомментировать строку:
Code:
  1. //  free HEAP_PATCHSEC

IMHO, лучше так и сделать. Всё обсуждение и ответы LCF-AT ведутся со ссылками на номера строк её скрипта, так что лучше их не нарушать.

В некоторых случаях сценарий останавливается на строке 1968. Вот её ответ:
" Line 1967 and 1968 and 1969 = pause.So it seems that I did forgot to remove this lines. [ ] So if you stop there then just resume the script.So at this place the script try to find the IAT top.So if this could fail anyhow then you can also enter the IAT start / end manually some lines below at line 1998 mov IATSTART, eax and 1999 mov IATEND, ecx.Set script eip at line 1998 then enter IAT start VA in eax and IAT end +4 = 00000000 DWORD after last API in ecx and resume the script."

В топике немало сообщений о том, что полученный с помощью скрипта дамп не запускается. Все её ответы сводятся к тому, что скрипт здесь не причём и предлагает поработать ручками.

Просит давать замечания и работает над upd скрипта.



Ранг: 134.1 (ветеран), 246thx
Активность: 0.220.1
Статус: Участник
realist

Создано: 13 мая 2014 18:08 · Поправил: Jaa
· Личное сообщение · #6

ThemidaAutoUnvirtualizer
Code:
  1. Instruction
  2. -Open ollydbg with target (.exe, .dll) loaded
  3. -If you're using clean ollydbg you can leave the User Settings by default, if not you need to change $className to the Class of the Ollydbg window (you can know the class using for example AutoIt v3 Window Info)
  4. - Note: If you are using KernelMode from StrongOD or something similar it won't be able to detect OllyDbg window.
  5. -Run the .exe (script compiled), or download AutoIt v3 and run the script (.au3).
  6. -Open ollydbg window (already opened) and it will start.
  7. -Don't move mouse nor press keyboard during script execution.


--> Download <--
--> Зеркало <--



Ранг: 49.7 (посетитель), 19thx
Активность: 0.050
Статус: Участник

Создано: 13 мая 2014 20:50
· Личное сообщение · #7

"I'm currently analyzing a Themida packed target using
about 135 VMs"
это ж где ж такое он встретил??



Ранг: 315.1 (мудрец), 631thx
Активность: 0.30.33
Статус: Модератор
CrackLab

Создано: 15 мая 2014 06:28
· Личное сообщение · #8

sivorog пишет:
это ж где ж такое он встретил??

вот в этой хрени http://www.highdots.com/products/source-code-library/ овер 600(!) VMs
p.s. и пока не снимешь всю вм и не отрубишь несколько таймчеков, сабж вообще неворкает. вероятно поэтому проект и захлох, ибо имхо такое неработающее гавно никто не покупает.



Ранг: 315.1 (мудрец), 631thx
Активность: 0.30.33
Статус: Модератор
CrackLab

Создано: 22 мая 2014 04:26
· Личное сообщение · #9

--> Themida - Winlicense Ultra Unpacker <--
Update: 1.1

Code:
  1. TheMida - WinLicense Ultra Unpacker 1.1
  2. ***************************************************
  3. Fixed Breakpoint Error Info
  4. Fixed FW API Name Check In IAT
  5. Fixed Custom Dll UnpackBase Problem
  6. Added Basic Olly & Plugin Setup-Checks
  7. Added Dll Dynamic Check + Current Base Dumping
  8. Added Custom PE_ADS Alloc Size Option
  9. Added Custom HWID MessageBox Info check
  10. Added Nopper (Prevent Crasher) Disable Ask Option (special case)
  11. Added Another EFL Scan & Patch (For Custom VM)
  12. Added Another Macro Scan & Patch & Info
  13. Added Personal Data Infos (User | Language | OS Bit | Date | Time | Duration)
  14. Added Overlay Scan | Dumper & Adder (Overlay will added to DP file by script)
  15. Added Auto XBunlder Files Dumper Option (Default is enabled but you can also disable it below)
  16. Added Auto XBunlder Loader Option (Does load all XBunlder dll files into process / 20 Dll Load Files Limit!)
  17. Added XBunlder Direct Memory Imports to Loaded XBundler Dll Imports Fixer
  18. Added Custom HWID Label If WL dosen't use normal system messagebox API.See below in Hint description


Скрипт и туторы: http://rghost.ru/55537684

| Сообщение посчитали полезным: vnekrilov

Ранг: 19.9 (новичок), 31thx
Активность: 0.030.01
Статус: Участник

Создано: 30 мая 2014 17:31
· Личное сообщение · #10

TheMida - WinLicense Ultra Unpacker 1.2
Code:
  1. ***************************************************
  2. Fixed Wrong Label Name
  3. Fixed OEP Zero Bytes Bug
  4. Added MJM Detail Moddern Scan
  5. Added DLL & XBunlder DLL Import Check at first MJ Stop
  6. Added Another WL Entry Scan (TF & CISC Mixed)
  7. Added PE Section Splitting Optimizer Scan & Data Log (Reducing Codesection & Split)
  8. Added Better IAT End Checking


http://rghost.net/56013219

| Сообщение посчитали полезным: CyberGod, vnekrilov, mak


Ранг: 253.5 (наставник), 684thx
Активность: 0.260.25
Статус: Участник
radical

Создано: 03 июля 2014 22:03
· Личное сообщение · #11

TheMida - WinLicense Ultra Unpacker 1.3
Code:
  1. Themida - Winlicense Ultra Unpacker 1.3
  2. ***************************************************
  3. Fixed VMWare Check Problem
  4. Added EFL User Option
  5. Added Better Check For HWID
  6. Added CISC (Old / New ) Basic VM OEP Turbo Method + Pushes & Handler Log (Push / Push / Jump to Handler!)
  7. Added IAT Checkbox to User (Verify IAT Start / Size!)
  8. Added Second VM Entry Scan & Log --(2)-- After Other Entry Fixing (Macros etc)
  9. Added SetEvent Finder Script (CISC & RISC)
  10. Added SetEvent Patcher       (CISC & RISC)


https://www.sendspace.com/file/xjpjv1

-----
ds


| Сообщение посчитали полезным: CyberGod, Gideon Vi, ZLOFENIX, Mishar_Hacker, v00doo

Ранг: 24.3 (новичок), 65thx
Активность: 0.010
Статус: Участник

Создано: 13 июля 2014 17:16
· Личное сообщение · #12

Записал видео по обходу проверки CRC на последних версиях Themida.

https://www.sendspace.com/file/qnunut

| Сообщение посчитали полезным: BlackArting, igorca

Ранг: 134.1 (ветеран), 246thx
Активность: 0.220.1
Статус: Участник
realist

Создано: 14 июля 2014 09:37
· Личное сообщение · #13

Themida - Winlicense Ultra Unpacker 1.4

Code:
  1. Themida - Winlicense Ultra Unpacker 1.4
  2. ***************************************************
  3. Added CRC Fixer (exe & dll & NET support)
  4.  
  5. INFO:   If you want to CRC fix any dll (dll flag enabled in PE) then be sure
  6.         that your dll was also loaded the first time with value 1 in [esp+08]!
  7.         If you're not sure about it then enable the option AdvEnumModule in the
  8.         StrongOD plugin and then load your dll file.


https://www.sendspace.com/file/9pu8z8



Ранг: 1.0 (гость)
Активность: 0=0
Статус: Участник

Создано: 27 сентября 2014 23:11
· Личное сообщение · #14

Подскажите пожалуйста. Запустил скрипт Themida - Winlicense Ultra Unpacker 1.4, скрипт успешно отработал и получил библиотеку 30 мб исходная длл 28, что дальше надо сделать чтобы программа работала? Клиент Lineage Interlude, а библиотека engine.dll



Ранг: 329.6 (мудрец), 192thx
Активность: 0.140.01
Статус: Участник

Создано: 28 сентября 2014 12:38
· Личное сообщение · #15

redist пишет:
что дальше надо сделать чтобы программа работала?


Далее необходимо отрезать секции, добавленные протектором. Затем загрузить DLL по другому адресу (используя модифицированную loaddll.exe), и снова распаковать DLL, а также отрезать лишие секции созданные протектором. Далее нужно применить утилиту ReloX 1.0, для восстановления секции релоков. И все должно нормально заработать. Распаковка DLL, в отличие от EXE имеет свои нюансы.

| Сообщение посчитали полезным: redist

Ранг: 1.0 (гость)
Активность: 0=0
Статус: Участник

Создано: 28 сентября 2014 15:34
· Личное сообщение · #16

vnekrilov пишет:
Далее необходимо отрезать секции, добавленные протектором

А как узнать нужные секции?



Ранг: 95.1 (постоянный), 247thx
Активность: 0.260.01
Статус: Участник

Создано: 28 сентября 2014 15:39
· Личное сообщение · #17

redist пишет:
А как узнать нужные секции?

Найти отличия между защищенной и незащищенной длл, которые были скомпилированы в одной среде.

-----
TEST YOUR MIGHT




Ранг: 4.9 (гость), 1thx
Активность: 0=0
Статус: Участник

Создано: 28 сентября 2014 15:49
· Личное сообщение · #18

Вот тоже по релокам неплохой способ, для тех кто любит по жестче, чтоб не потерялось..)
https://exelab.ru/F/action=vthread&forum=13&topic=16798&page=0#18



Ранг: 1.0 (гость)
Активность: 0=0
Статус: Участник

Создано: 28 сентября 2014 15:59
· Личное сообщение · #19

Еще вопрос в скрипте 1.4 автоматически восстанавливается импорты? Не нужно использовать Import recovery? после выполнения?



Ранг: 2.3 (гость), 1thx
Активность: 0=0
Статус: Участник

Создано: 22 февраля 2015 22:59
· Личное сообщение · #20

Чем еще кроме Oreans Unvirtualizer можно восстановить JMP/CALL ? Может есть какой-нибудь другой "Unvirtualizer" ?



Ранг: 329.6 (мудрец), 192thx
Активность: 0.140.01
Статус: Участник

Создано: 23 февраля 2015 10:54
· Личное сообщение · #21

ProstoClicker пишет:
Чем еще кроме Oreans Unvirtualizer можно восстановить JMP/CALL ? Может есть какой-нибудь другой "Unvirtualizer" ?


Если этот девиртуализатор не берет, то только ручками...



Ранг: 2.3 (гость), 1thx
Активность: 0=0
Статус: Участник

Создано: 23 февраля 2015 22:14
· Личное сообщение · #22

Каким образом?

Добавлено спустя 1 минуту
Oreans Unvirtializer с новой темидой не хотит работать, пишет что нет может найти какие-то сигнатуры VM

Добавлено спустя 1 час 5 минут
Работает, но только на 30-40% из всех функций. Остальные немного отличаются но почти точно такие же, не знаю почему с ними не работает



Ранг: 0.9 (гость)
Активность: 0=0
Статус: Участник

Создано: 24 февраля 2015 16:14
· Личное сообщение · #23

VM - возможно это virtual machine.



Ранг: 95.1 (постоянный), 247thx
Активность: 0.260.01
Статус: Участник

Создано: 24 февраля 2015 16:41
· Личное сообщение · #24

Staps пишет:
VM - возможно это virtual machine.

Cпасибо, кэп.
ProstoClicker пишет:
Работает, но только на 30-40% из всех функций. Остальные немного отличаются но почти точно такие же, не знаю почему с ними не работает

И хорошо, что не работает.Может так хоть отучатся многие от автоматических решений, да и было бы странным, если бы инструкции вм не видоизменялись в зависимости от старшинства версий протектора.

-----
TEST YOUR MIGHT




Ранг: 0.5 (гость)
Активность: 0=0
Статус: Участник

Создано: 26 февраля 2015 20:27 · Поправил: aphexman
· Личное сообщение · #25

Всем привет, возможно оффтоп, но по теме, помогите распаковать exe фаил он запакован темидой ориентировачно год 2010, подробности в ЛС или на почту aphex-twin@mail.ru
Естественно не бесплатно!
Буду благодарен!
Если попадется человек который знает как по коду дописывать exe или изменять параметры, возможно сотрудничество!



Ранг: 2.3 (гость), 1thx
Активность: 0=0
Статус: Участник

Создано: 27 февраля 2015 23:20
· Личное сообщение · #26

Каким образом можно вручную восстановить виртуализированный код? (JMP/CALL)

Есть какие-нибудь видеоуроки или нужно "жать все наугад"?



Ранг: 134.1 (ветеран), 246thx
Активность: 0.220.1
Статус: Участник
realist

Создано: 27 февраля 2015 23:52
· Личное сообщение · #27

ProstoClicker
на тутсях ищи, там найдешь расжованные туториалы




Ранг: 253.5 (наставник), 684thx
Активность: 0.260.25
Статус: Участник
radical

Создано: 28 февраля 2015 00:47
· Личное сообщение · #28

ProstoClicker пишет:
"жать все наугад"?

Збсь подход

Если ВМ не cisc, то можешь ролики на тутсях не искать, плаг его не девиртуализирует.

-----
ds




Ранг: 14.3 (новичок), 2thx
Активность: 0.010
Статус: Участник

Создано: 09 апреля 2015 14:27
· Личное сообщение · #29

Коллеги вопрос

Значит ковыряюсь с этой заразой
сскрипт с тутси выдал:
Themida - Winlicense Ultra Unpacker 1.4 -+-

Your target >> CrackMe << seems to be a NET FRAME WORK app! NET Directory Found at VA: Not | Found ****PE HEADER + SIZE: 1211000 CODESECTION: 1212000 ************* Run script till (bypass HWID if needed) OEP and then run the app with F9! Unpacking of NET targets is diffrent! Dump running process with WinHex and then fix the whole PE and NET struct!

Не точно понимаю что это означает? Скрипт не работает с НЕТ сборками?
Предлагает дампировать, кста там антидамп и антидебаг, но дампировать отдельно или скрипт найдет ОЕП, а потом дампировать?

Какой тулл посоветуете? Пробовал мегадампом дамп сделал (не рабочий), но чем фиксить сборку? Сорри спешу, нужно быстро.



Ранг: 95.1 (постоянный), 247thx
Активность: 0.260.01
Статус: Участник

Создано: 09 апреля 2015 14:30 · Поправил: unknownproject
· Личное сообщение · #30

artkar пишет:
но чем фиксить сборку?

Дамп можно снимать чем угодно, но именно с запущенного процесса, который ничем не приостановлен.Фиксить с помощью CFF Explorer, а вообще вместе со скриптом идет бинарь для фикса шарповых дампов, накрытых фимой.

-----
TEST YOUR MIGHT


| Сообщение посчитали полезным: artkar

Ранг: 45.7 (посетитель), 40thx
Активность: 0.030
Статус: Участник

Создано: 09 апреля 2015 16:06
· Личное сообщение · #31

artkar
Дампите megadumperom,если дамп не снимается(пишет что успешно,но в папке dump файлы не появляются),приостанавливаете процесс-правой кнопкой-pause,и снова дампите,потом этим проходитесь http://rghost.ru/4704286

| Сообщение посчитали полезным: artkar, Autokent
<< . 1 . 2 . 3 . 4 . 5 . >>
 eXeL@B —› Протекторы —› Распаковка Themida последних версий: туторы, скрипты, плагины.
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати