Не даётся снять протектор Themida. Версия также неизвестна.

Сейчас на форуме: (+9 невидимых)

Посл.ответ	Сообщение
Canakau Ранг: 13.9 (новичок) Активность: 0.01↘0 Статус: Участник	Создано: 03 ноября 2013 16:18 · Личное сообщение · #1 Доброго времени суток. Попался крепкий орешек в виде сабжа. минимум для запуска в архиве(_https://suffra.com/filestorages/file1065.html - kmit 500кб, так что на внешнем хранилище). Почитал и посмотрел товарища LCF-AT. Весьма познавательно. Однако, помогло лишь отчасти. На данный момент выяснено следующее - OEP:0x4B7948, VM OEP ( это скрипт подсказал): 6F8633; IAT 407B72 длина A50; по адресу 6E4613 находится команда REP MOVS BYTE PTR ES:[EDI],BYTE PTR DS:[ESI], как на "третьей остановке" у LCF-AT. по адресу 529F69 находится команда () CMP DWORD PTR DS:[EAX],4C4454E (проверка на ntdll), по условиям наждения, у LCF-AT там должно быть CMP DWORD PTR DS:[EAX],0E8 с этого момента и начинаются сложности. Пытался восстановить импорт. трассировал долго, терпежу не хватило. (кстати, вся процедура начинается с 529BFB) правильный адрес в районе () лежит в EAX. попытка создать этом месте скриптом правильную IAT ничего не дала - порядок вызова отличается, ориентир - 13-е вхождение правильное - RtlLeaveCriticalSection, у меня получилось - WaitForSingleObject. Направьте на путь истинный, форумчане! Что-то мозг уже кипит, а мысли закончились. Думается мне, пошёл я не совсем правильным путём...

Jaa Ранг: 134.1 (ветеран), 246thx Активность: 0.22↘0.1 Статус: Участник realist	Создано: 03 ноября 2013 16:31 · Личное сообщение · #2 Canakau ну, а почему вопрос не задал на форуме где LCF-AT обитает(tuts4you.com), скрипт то его?
SReg Ранг: 315.1 (мудрец), 631thx Активность: 0.3↗0.33 Статус: Модератор CrackLab	Создано: 03 ноября 2013 16:38 · Личное сообщение · #3 Canakau только что проверил - нормально распаковывается.
Jaa Ранг: 134.1 (ветеран), 246thx Активность: 0.22↘0.1 Статус: Участник realist	Создано: 03 ноября 2013 16:56 · Поправил: Jaa · Личное сообщение · #4 SReg пишет: только что проверил - нормально распаковывается. аналогично --> unpacked(after_script) <-- SReg пишет: максик бредишь или параноя!? SReg пишет: это несерьезно никто и не писал что это полный анпак с восстановленным вм
SReg Ранг: 315.1 (мудрец), 631thx Активность: 0.3↗0.33 Статус: Модератор CrackLab	Создано: 03 ноября 2013 17:06 · Личное сообщение · #5 Jaa пишет: --> unpacked <-- максик это несерьезно Code: 004B34CF JMP 00728176 004B37D8 JMP 007339F0 004B383D JMP 007451AE 004B394B JMP 00753148 004B39BD JMP 007713CA 004B3E2C JMP 00782503 004B3E9F JMP 00791755 004B3F20 JMP 007A6760 004B3F53 JMP 007B16A1 004B405F JMP 007C474C 004B4212 JMP 007D26E9 004B4568 JMP 007E2472 004B45AB JMP 007F5DA9 004B45E9 JMP 00808A2B 004B4814 JMP 00820F80 004B4D97 JMP 00834E5A 004B4E97 JMP 0084A435 004B4F7D JMP 00858326 004B5039 JMP 0086717D 004B5291 JMP 0087A53B 004B546D JMP 0088D582 004B5523 JMP 008A0625 Canakau вот ровный анпак http://rghost.ru/49906245 \| Сообщение посчитали полезным: Hellspawn, Canakau
Canakau Ранг: 13.9 (новичок) Активность: 0.01↘0 Статус: Участник	Создано: 03 ноября 2013 18:04 · Личное сообщение · #6 SReg Здорово! а подробности можно? если не затруднит. Новый для меня протектор. Восстанавливаюсь после долгого перерыва. Замшел..
Jaa Ранг: 134.1 (ветеран), 246thx Активность: 0.22↘0.1 Статус: Участник realist	Создано: 03 ноября 2013 18:39 · Поправил: Jaa · Личное сообщение · #7 Canakau Code: - Unpacking - Exception analysing - VM analysing with UV plugin - AntiDump's find & fixing & redirecting "after fix method" - Testing on other OS --> TheMida.WinLicense.Manually.Unpack.Tutorial.by.LCF-AT <--

Для печати