Доброго время суток, в данной статье предлагаю размещать различные мануалы по снятию темиды, а также полезные программы и скрипты. Я знаю, что такая тема уже задавалась на кряклябе, но потом проект как-то заглох, да и темида уже давно обновилась. Ну чтож, в добрый путь, друзья!

| Сообщение посчитали полезным:

igorca пишет:
потом этим проходитесь http://rghost.ru/4704286
Этот мегакодес в 90% делает дамп кривым или вообще побитым.Проще руками фиксить (если руки не из причинного места).

-----
TEST YOUR MIGHT

| Сообщение посчитали полезным:

igorca пишет:
этим проходитесь http://rghost.ru/4704286
Эта да ломает всё

Добавлено спустя 1 минуту
unknownproject пишет:
а вообще вместе со скриптом идет бинарь для фикса шарповых дампов, накрытых фимой.
А где этот мега бинарь? Чёта в 1.4 нету

| Сообщение посчитали полезным:

artkar пишет:
А где этот мега бинарь? Чёта в 1.4 нету
Он так-то с версии 1.0 скрипта еще шел.
---------------------------------------------------------------------------------------------------------------------------------------------
Кстати, скакав по экзепшенам, я OEP находил в крайней фиме с минимальной защитой от отладки на одной из прог.Скрипт на ней озалупился

-----
TEST YOUR MIGHT

| Сообщение посчитали полезным:

unknownproject пишет:
Скрипт на ней озалупился
Скрипт на то и скрипт, чтобы озалупливаться процентов в 70..., раз его в тулзу не запиливают, значит вечно ему скриптом быть.
Кста а как Вы 64 ые Темиды ломаете скрипт то под Ольгу, а 64-ую Ольгу этот казел так и не запилил (морду бы ему набить)?

Чета пофиксил я образ, терь пишет что "Системе Windows не удается проверить цифровую подпись этого файла. При последнем изменении оборудования или программного обеспечения могла быть произведена установка неправильно подписанного или поврежденного файла либо вредоносной программы неизвестного происхождения."
Проверку подписей драйверов отключил, но нифига - походу это я криво пофиксил, ХЗ, дальше всё правильно вроде ХЗ чё делать то...

Добавлено спустя 12 часов 15 минут
Ща посмотрел сборку рефлектором, всё ОК, но тел у 99% функций нет

| Сообщение посчитали полезным:

Народ, кто знает, есть готовые алгоритмические решения по восстановлению морфленого в процессе replace кода ? Дебажу софт, есть нужда привести в божеский вид код некоторых перенесенных в секцию фимы функций.

| Сообщение посчитали полезным:

Themida unpacking 2.3.9.0 Spanish
туториал по анпаку --> Link <--

| Сообщение посчитали полезным: DimitarSerg, vnekrilov, HandMill, VodoleY, Hellspawn, darsy, asm-jaime, Coderess, Rainbow, zNob, DICI BF, nadia1982, v00doo

SReg
Themida unpacking 2.3.9.0 Spanish
туториал по анпаку --> Link <--

Напомнило стиль Рикардо Нарвахи, а что если вынести в отдельную тему и скинуться силами распределяя нагрузку, поделить перевод на брата по главе(ну или по 10-20 страниц на брата)? Одному такой переводить довольно сложно, а так статья очень полезная и наглядная и в материале нашего любимого сайта бы прибыло качественного контента. Aquila устал переводить в одиночку. Поддержите!

-----
Gutta cavat lapidem. Feci, quod potui. Faciant meliora potentes

| Сообщение посчитали полезным:

Coderess пишет:
Одному такой переводить довольно сложно, а так статья очень полезная и наглядная и в материале нашего любимого сайта бы прибыло качественного контента. Aquila устал переводить в одиночку. Поддержите!

Да, привлекательно выглядит )))) В одного, конечно, трудно переводить такой объем. Но тут есть одно "но" - не думаю, что здесь много людей знает испанский. Я тоже не владею , однако, если будут желающие влиться, ради такого дела, готов посидеть со словарем.

| Сообщение посчитали полезным:

Доброго времени суток!
Есть 3 vst плагина, накрыты Themida/Winlicense(2.X) и видимо с запретом запуска на вм.
я сейчас на маке, винда через параллел - не запускаются, пробовал винтугоу, но всё тупит дико =(
сможет кто снять фимку? залил сюда hТТp://rgho.st/6r4dblMSm (10, 6 мб)
Спасибо!

-----
Do Not Get Mad Get Money! ;)

| Сообщение посчитали полезным:

Talula скриптом распакуй от лцф-ат, он покажет адрес который нужно зафиксить --> Link <--

| Сообщение посчитали полезным:

SReg, попробую, спасибо

-----
Do Not Get Mad Get Money! ;)

| Сообщение посчитали полезным:

По поводу испанского туториала.

На tuts4you в феврале 2016 г. был открыт топик -->Themida unpacking 2.3.9.0 Spanish <--, где, правда, обсуждение заглохло уже в мае. Ничего внятного в части использования так никто и не озвучил.
Там есть ссылка на машинный перевод на английский: --> Themida 2.3.9.0 Vba Password Remover por Snat & Apuromafo.en.pdf <--. Коряво, но понять можно.

| Сообщение посчитали полезным: daFix

Ма-аленький оффтопик. Кто в теме - будет интересно глянуть.

0105_15.01.2017_EXELAB.rU.tgz - 2017-01-14_132313.png

| Сообщение посчитали полезным:

Chris пишет:
будет интересно глянуть
Глянуть на что?

| Сообщение посчитали полезным:

Archer пишет:
Глянуть на что?
На фото. Это автор скрипа Themida - Winlicense Ultra Unpacker 1.4 и других.

| Сообщение посчитали полезным:

Это шведская актриса Лена Олин.

| Сообщение посчитали полезным:

Chris
https:/./images.google.ru/

| Сообщение посчитали полезным:

Archer пишет:
Это шведская актриса Лена Олин
Это получено непосредственно от LCF-AT. Надпись в левом нижнем углу заблокировала сомнения. Проверить даже в голову не пришло.
Прошу прощения.
А LCF-AT за троллинг - респект. Простачков учить надо...

| Сообщение посчитали полезным:

Archer

Отсыпьте и мне этих веществ, ну что бы я понял что там актриса и не забыл что это

-----
vx

| Сообщение посчитали полезным:

Проблемка с распаковкой Themida/Winlicense(2.X):
- юзает хадварную привязку и ключ ака regkey.dat (имеется валидный ключ, нет валидного железа)
- юзает защиту от VM (от варьки есть в скрипте патч. но в лом ставить, сам юзаю VirtualBox, поэтому решено было на реальном своб. компе все раскрутить)
Переделал скрипт от LCF-AT ver 1.4. Не брякался на MessageBoxExA, ладно сделал бряк на SoftModalMessageBox - норм теперь брякается, байпасит оба окошка (тоже пришлось напильником доработать скрипт).
Проверку компаратора (FIND_COMPARES) не проходит - пишет ничего не найдено, алго (сигнатура) поиска компаратора от Maximus --> https://exelab.ru/f/action=vthread&forum=13&topic=19415 <-- тоже не помогает. Х.з. чего делать далее. После поиска компаратора тупо через мин 20 трейса (сорри машина не ахти та что с ХР) выходит на NO_MORE_CMPS и соответственно не находит ничего.
Просьба подсказать по опыту куда копнуть, бэктрейс что то не туда тянет.
P.S: редко бываю, но запилю раб скрипт - выложу тут.
P.S.S: говно с этой ветки -->https://exelab.ru/f/action=vthread&forum=1&topic=17633&page=41#11 <--

| Сообщение посчитали полезным:

Сорри, но вот тута я выложу школолошние недовысеры (неопласеные, тема у них имхо "Мир завоевать хочу а не знаний ни умения ни денег", только доступ дебилов "школолоидных", типа "хочу":
- Банкомат {Любой диспенсер отдает априори сдачу XP-7} (Анпакается с полпинка LCF-AT ver 1.4 + sysenter)[Анпакнутая]:
https://www.sendspace.com/file/i7vz7m
https://www.sendspace.com/delete/i7vz7m/f42e11dc4f65af6a68aba4a9def89b33
[кто первый возьмет - не удаляй, отпишись в теме]
Password: 8Smj0RAZsU08
либы для АТМ чисто, вместе с оригиналом, не анпакнутым:
- сами найдете
ребят, там функа проверки кода есть. Если не дергаясть хексрейсом глянете - в конце там увидете
https://www.sendspace.com/file/0hemku
https://www.sendspace.com/delete/0hemku/319b71eb5086576322bf2c683588f20c
Password: HG5Yunwq5O8o
Эта говнохрень хотела стоить 3к/мес
кодген сами забацайте инлайном

ADD: дерзайте у кого есть доступ к атм, хулеее нет, щас скрипт от LCF-AT переделываю, т.к. динамика и графы нужны, а не поиск сигнатур, кто в теме - поймет, присоединяйтесь (c)HiEndSoft aka sysenter
Вот. для.... скрипт под SoftModalMessageBox
-->Password: nCbnsaJc6p<--

брякаетесь и смотрите по коол - стэку вверх, когда ответят на вопросы - дам полную версию
Щас, еще пидососа семпл + скрипт.... ждите
_____________________________
Алчи-Алчи / мож и Арчи... (c) Кормильцев [--> Link <--]

| Сообщение посчитали полезным:

Жертва распакована с помощью скрипта LCF-AT. Всё проходило штатно, без проблем, с одним, правда, условием: предварительно потребовалась валидная регистрация. Полученный дамп, естественно, не запускается. Все секции есть, импорт на месте.
Как его подлечить? Какой может быть алгоритм дальнейших действий?

| Сообщение посчитали полезным:

artkar пишет:
Кста а как Вы 64 ые Темиды ломаете скрипт то под Ольгу, а 64-ую Ольгу этот казел так и не запилил
Присоединяюсь к вопросу.
Хотя бы, как,например в x64dbg, сабжевую антиотладку побороть? При любом сокрытии дебаггера темида выкидывает окошко - мол, исключение случилось

| Сообщение посчитали полезным:

_MBK_ пишет:
Хотя бы, как,например в x64dbg, сабжевую антиотладку побороть? При любом сокрытии дебаггера темида выкидывает окошко - мол, исключение случилось
ScyllaHide в помощь

| Сообщение посчитали полезным: _MBK_

Буквально секунду назад залез, сказать, что выкрутился через ScyllaHide ;)

В общем, как и предполагалось, все вышеизложенное в этой ветке совершенно бесполезно для 64битной темиды версии 2.4, поскольку MegaDump она тоже научилась дурить Путем проб и находок сработал следующий путь:
Поциент загружается в x64dbg, оснащенный ScyllaHide для борьбы с антиотладчиком. Затем, во время работы, дампится сырой образ памяти, к которому руками прикручивается header. Получается сильно побитый, но вполне годный для дальнейшего исследования дотнетовский модуль.
Как то так

| Сообщение посчитали полезным: