Не получается скрыть olly от Themida

Сейчас на форуме: (+8 невидимых)

Посл.ответ	Сообщение
Envy12 Ранг: 25.9 (посетитель), 1thx Активность: 0.02↘0 Статус: Участник	Создано: 25 июля 2015 14:18 · Поправил: Envy12 · Личное сообщение · #1 В попытках распаковать файл скриптом пробовал несколько плагинов. ODbgScript 1.82.6 и StrongOD 0.4.8.892, фантом 1.79 не удалось найти, взял 1.85. Пробовал ScyllaHide 1.2. Тестил на win7 x32 и x64, olly 110. Иногда вместо детекта отладчика вылезает это: Объект - клиент игры. Вот текущая конфигурация: Code: Log data Address Message OllyDbg v1.10 CommandBar v3.00.108 Originary Written by Oleh Yuschuk Modified by Gigapede Contributors:TBD Wayne psyCK0 mfn ODbgScript v1.82.6 i686 VC2008 WDK7.1 CRT/STL60 http://odbgscript.sf.net ----------------------------------- PhantOm plugin 1.85 by Hellsp@wn & Archer & Olenevod ----------------------------------- [PhantOm_stat] > Exceptions handler patched [PhantOm_stat] > Writememoryproc hooked [PhantOm_stat] > Readmemoryproc hooked [PhantOm_stat] > Import bug patched [PhantOm_stat] > FPU bug patched [SSE3] [PhantOm_stat] > OutputDebugString patched [PhantOm_stat] > NumOfRvaAdnSizes patched [PhantOm_stat] > Outside message patched [PhantOm_stat] > Caption changed [patched] [PhantOm_stat] > Caption changed [SetWindowText] [PhantOm_stat] > x64 compatible patched ScyllaHide Plugin v1.2 Copyright (C) 2014 Aguila / cypher Fixed PE-Bug at 0x5C671 Fixed PE-Bug at 0x5D827 Fixed PE-Bug at 0x5D8B7 Fixed PE-Bug at 0xC870A Fixed ForegroundWindow at 0x3A1FB Fixed FPU-Bug at 0xAA2F2 Patched sprintf bug at 0xA74CF Fixed load NT Symbols at 0x91109 Fixed load NT Symbols at 0x911EC Fixed ERROR_ACCESS_DENIED with faulty handle at 0x7599f Patched single-step break on x64 at 0x311C2 Patched EP outside of code message at 0x3A1FB

Jaa Ранг: 134.1 (ветеран), 246thx Активность: 0.22↘0.1 Статус: Участник realist	Создано: 25 июля 2015 14:48 · Личное сообщение · #2 Envy12 пишет: Тестил на win7 x32 и x64 для распака юзай Windows XP
Envy12 Ранг: 25.9 (посетитель), 1thx Активность: 0.02↘0 Статус: Участник	Создано: 25 июля 2015 14:58 · Поправил: Envy12 · Личное сообщение · #3 Jaa пишет: для распака юзай Windows XP Как я понял, игре нужен новый directx, msvcrt и много еще чего, думаю xp - не вариант. Также проблема с Anti-Attach, если его включить то олька открывает сама себя, если не включать, то вылетает при распаковке все равно.
Jaa Ранг: 134.1 (ветеран), 246thx Активность: 0.22↘0.1 Статус: Участник realist	Создано: 25 июля 2015 15:23 · Поправил: Jaa · Личное сообщение · #4 посмотрите подробный туториал, может что то проясниться для вас https://forum.tuts4you.com/topic/34085-themida-winlicense-ultra-unpacker-14/
Envy12 Ранг: 25.9 (посетитель), 1thx Активность: 0.02↘0 Статус: Участник	Создано: 25 июля 2015 16:45 · Поправил: Envy12 · Личное сообщение · #5 Разве что настройки какие-то неправильные, у ольки или плагинов 1 файл удалось получить с помощью Themnet Unpacker, но не валидный, а именно MZ сломан. Я пробовал дописать его сам, но не получилось. Можно этот файл http://rghost.ru/6M9bwpH9Q как-то починить?
ThugboyZ Ранг: 10.9 (новичок), 5thx Активность: 0.06↘0 Статус: Участник	Создано: 26 июля 2015 09:27 · Поправил: ThugboyZ · Личное сообщение · #6 Envy12 пишет: Разве что настройки какие-то неправильные, у ольки или плагинов 1 файл удалось получить с помощью Themnet Unpacker, но не валидный, а именно MZ сломан. Я пробовал дописать его сам, но не получилось. Можно этот файл http://rghost.ru/6M9bwpH9Q как-то починить? Убит мз хидер, частично поля опционального заголовка, импорт и ресурсы, а в их директории прописана каша.Антидамп или кривой дамп - сказать сложно, но факт в том, что файл превратился в говно. \| Сообщение посчитали полезным: Envy12
ELF_7719116 Ранг: 419.0 (мудрец), 647thx Активность: 0.46↗0.51 Статус: Участник "Тибериумный реверсинг"	Создано: 26 июля 2015 09:51 · Личное сообщение · #7 Вообще есть отдельная тема про фемиду. Но раз так уже создали... Вы, хотя бы версю точную федимы указали. По скриншоту, что самый первы: Наверно это single-step??! ntdll.ZwSetInformationThread ?? Действительно: плюньте на 7ку, возьмите XP или еще лучше 2k3 для распаковки.
Envy12 Ранг: 25.9 (посетитель), 1thx Активность: 0.02↘0 Статус: Участник	Создано: 26 июля 2015 11:48 · Поправил: Envy12 · Личное сообщение · #8 Точную версию определить немогу, только вывод die - 2.Х ELF_7719116 пишет: Наверно это single-step??! ntdll.ZwSetInformationThread ?? После смены конфигурации плагинов это сообщение пропало, теперь проблемы с анти-отладкой http://i.imgur.com/Gn8U7Cv.png По поводу xp, на нем не запускается, нехватает msvcrt(не найдена точка входа _ftol2) и dsound, обе библиотеки взял из семерки и положил в директорию программы.
ThugboyZ Ранг: 10.9 (новичок), 5thx Активность: 0.06↘0 Статус: Участник	Создано: 26 июля 2015 13:04 · Личное сообщение · #9 Envy12 пишет: По поводу xp, на нем не запускается, нехватает msvcrt(не найдена точка входа _ftol2) и dsound, обе библиотеки взял из семерки и положил в директорию программы. Зависимости и отсутствующие апишки в рамках ранней версии ядра нт в XP, так что простая подмена ничего не даст. ELF_7719116 пишет: Действительно: плюньте на 7ку Под ней все, как раз таки, нормально распаковывается, а вот под вин 8.x...Аминь.Там полная кастрация в плане отладки, а юзать встроенную учетку админа - не самый лучший вариант со стороны безопасности, учитывая кол-во критических багов в мастдае, ну, а если брать в расчет то, как майкрософт решают проблемы безопасности (за примером ходить долго ненадо - абсолютная блокировка chm файлов, через которые можно удаленно исполнять код, вместо блокировки отдельно взятых зон).
Envy12 Ранг: 25.9 (посетитель), 1thx Активность: 0.02↘0 Статус: Участник	Создано: 26 июля 2015 13:19 · Личное сообщение · #10 ThugboyZ пишет: Зависимости и отсутствующие апишки в рамках ранней версии ядра нт в XP А вот в требованиях заявлена поддержка xp. Тестил на SP2, сейчас 3 ставлю.
ELF_7719116 Ранг: 419.0 (мудрец), 647thx Активность: 0.46↗0.51 Статус: Участник "Тибериумный реверсинг"	Создано: 26 июля 2015 14:17 · Личное сообщение · #11 ThugboyZ пишет: юзать встроенную учетку админа - не самый лучший вариант со стороны безопасности Если в XP/2k3 - можно отдельную user-учетку и не заморачиваться. Envy12 Укажите точную версию фемиды. Или, дайте уже линк на файло
Gideon Vi Ранг: 1131.7 (!!!!), 447thx Активность: 0.67↘0.2 Статус: Участник	Создано: 26 июля 2015 16:35 · Поправил: Gideon Vi · Личное сообщение · #12 ThugboyZ пишет: а юзать встроенную учетку админа добавить себя к дебаговым пользователям можно и под простым админом. ThugboyZ пишет: учитывая кол-во критических багов в мастдае to Archer: добавьте facepalm-смайл, пожалуйста.
Envy12 Ранг: 25.9 (посетитель), 1thx Активность: 0.02↘0 Статус: Участник	Создано: 26 июля 2015 21:28 · Личное сообщение · #13 http://rghost.ru/8f8kMPSSn
Maximus Ранг: 392.8 (мудрец), 108thx Активность: 0.26↘0.01 Статус: Участник REVENGE сила, БеХоЦе могила	Создано: 27 июля 2015 10:05 · Поправил: Maximus · Личное сообщение · #14 Win7 + Olly 1.1 + StrongOD работает всегда! StrongOD можно взять тут: https://tuts4you.com/download.php?view.2028 Естественно все работает только под админом. Необходимо сделать дополнительные настройки Олли и стронга. Вот тут есть видео, показывал одному человеку как настроить отладку темиды: http://www.youtube.com/watch?v=ZxEWSODvPvc ----- StarForce и Themida ацтой! \| Сообщение посчитали полезным: igorca
Envy12 Ранг: 25.9 (посетитель), 1thx Активность: 0.02↘0 Статус: Участник	Создано: 27 июля 2015 12:53 · Личное сообщение · #15 Maximus Сделал все как в видео, скрипт на этот раз ощутимо дольше работал, наверно все выгрузил из vboxogl. Но сам exe там не работает, это может быть из за темиды?
ClockMan Ранг: 568.2 (!), 464thx Активность: 0.55↗0.57 Статус: Участник оптимист	Создано: 28 июля 2015 01:28 · Личное сообщение · #16 Envy12 пишет: По поводу xp, на нем не запускается, нехватает msvcrt(не найдена точка входа _ftol2) и dsound на ХР SP3 запустилась без проблем ThugboyZ пишет: Зависимости и отсутствующие апишки в рамках ранней версии ядра нт в XP, так что простая подмена ничего не даст ----- Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.
Envy12 Ранг: 25.9 (посетитель), 1thx Активность: 0.02↘0 Статус: Участник	Создано: 28 июля 2015 06:40 · Личное сообщение · #17 ClockMan У вас виртуалка? virtualbox или VMware?
ClockMan Ранг: 568.2 (!), 464thx Активность: 0.55↗0.57 Статус: Участник оптимист	Создано: 28 июля 2015 13:49 · Личное сообщение · #18 Envy12 пишет: У вас виртуалка? virtualbox или VMware? то и другое ----- Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.
Envy12 Ранг: 25.9 (посетитель), 1thx Активность: 0.02↘0 Статус: Участник	Создано: 28 июля 2015 13:57 · Личное сообщение · #19 С запуском разобрался. 1.4 скриптом можно снять эту темиду?
ClockMan Ранг: 568.2 (!), 464thx Активность: 0.55↗0.57 Статус: Участник оптимист	Создано: 28 июля 2015 14:14 · Личное сообщение · #20 Envy12только для вашего файло 0ea1_28.07.2015_EXELAB.rU.tgz - themida iat rebulder norm.txt ----- Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли. \| Сообщение посчитали полезным: Envy12

Для печати