Снимаю Темиду 2.x.x версии с помощью скрипта (прикреплён).

2d2a_10.09.2018_EXELAB.rU.tgz - Themida - Winlicense Ultra Unpacker 1.4.txt

Добавлено спустя 0 минут
Выдаёт ошибку:

c43e_10.09.2018_EXELAB.rU.tgz - 1.png

Добавлено спустя 2 минуты
Заметил, что во время исполнения скрипта один из плагинов говорит, что не работает на x64. Запустил всё это дело в виртуально

Добавлено спустя 4 минуты
Во время исполнения скрипта один из плагинов, а точнее strongod говорит, что не работает в x64 системах. Запустил всё это тело в виртуальной x32 машине - плагин работает, но скрипт стопорится на том же, как я понял, месте, но есть одно отличие - другая ошибка и вообще вся оля вылетает нафиг.

Добавлено спустя 5 минут
Прикрепляю скрин:

Добавлено спустя 7 минут
Эм, почему-то он не прикрепляется)))

Ладно, может кто знает, что делать?

P.S. Господа админы, добавьте на форум возможность добавления и просмотра пикчи непосредственно в сообщение, скачивать архивом, что бы посмотреть - это ж прошлый век.

| Сообщение посчитали полезным:

Belg пишет:
тему можно закрывать

ну сам и закрой: кнопка "Закрыть тему" находится внизу страницы.

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

Belg пишет:
тему можно закрывать.

атак же Belg пишет:
Ждите, я ща начну гуглить как делать инлайн патч и вернусь
неоднозначный малый...
<<Соломою своею Я думать не умею, Хотел бы попросить я У Гудвина ума>>

| Сообщение посчитали полезным:

SDK пишет:
неоднозначный малый...

возможно чел вообще троллит, а мы, дураки, ведемся.

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным: SDK

SDK пишет:
неоднозначный малый...

Вернусь уже в другую, новую тему)

| Сообщение посчитали полезным:

Поторопился я с закрытием беседы. Обнаружилось вот что, файл, распакованный ClockMan'ом занимает 6,5 МБ, а распакованный скриптом 13,2, при размере упакованного файла в 4,1 МБ. При этом нареканий в работе ни к одному из файлов нет, оба нормально открываются, detectiteasy темиды ни на одном не видит. Хотя, с моим файлом есть всё-таки пара небольших "но". Если попытаться зашифровать его Темидой, то она откажется это делать, так как по её мнению он уже зашифрован. Плюс, при загрузке в дизассемблер вылезает ошибка "stream read error", которая, собственно, ни на что не влияет - процесс успешно завершается.
Так что есть большая просьба к более опытным товарищам - чекнуть мой файл на предмет "нормальности" и пригодности к дальнейшему его исследованию на предмет взлома лицензии. 6 лишних или недостающих метров не шутка всё-таки. Заранее спасибо.

Ссылка: https://cloud.mail.ru/public/GqUC/myfxiSZYP

| Сообщение посчитали полезным:

rebuil pe в петулзе попробуй но бэкапни.

| Сообщение посчитали полезным:

SDK пишет:
rebuil pe в петулзе попробуй но бэкапни.

Было 13,2 - стало 12,7. Смысл?

Мне на самом деле на размер плевать, главное убедиться, что файл не битый какой-нибудь. Просто... Там человек явно больше меня соображает и у него 6, а у меня 13. Чисто из-за такой логики снова разворошил тему, повторюсь, работает нормально, за исключением вот этих незначительных "но".

| Сообщение посчитали полезным:

автоматика в дамп много мусора суёт особенно если там вм
это уже обсуждалось у кого то 750 кб лишних у кого то 1.5мб

| Сообщение посчитали полезным:

SDK пишет:
автоматика в дамп много мусора суёт

Но работать дальше с этим мусором можно или его обязательно как-то вычищать надо?

| Сообщение посчитали полезным:

чтоб вычищать надо трассу сокращать в вм опкоды разкрутить ,
понимать как оно работает,поэтому и советуют читать про ручную распаковку,работать без скриптов этих.
а для работы например, малварь изучить или понять алго хватает в 90% случая и простого дампа не работоспособного.

| Сообщение посчитали полезным:

А то, я, конечно, распаковал бы в ручную (нет), но ЕДИНСТВЕННОЕ, что мне удалось обнаружить на счёт ручного снятия Темиды - это вот эта несчастная статья https://www.evilfingers.com/publications/research_RU/dump.lite.pdf . Ни видео, ни гайдов - нихрена, а тема не то, чтобы лёгкая для вникания с нуля. Так шо, хотелось бы всё же пока автоматику поюзать, тем более, что работает, вроде как.

| Сообщение посчитали полезным:

ручную распаковку на паблик не кидают так же как и софт,
во первых это отбирает хлеб во вторых паблик статьи и авторы защит читают))
если хочешь получать инструменты знания то надо сильно постараться писать статьи,
делать интересные ключиделки,или писать инструменты ,
на специальных Irc каналах вести беседы сейчас может это телеграмм или твитер
у ребят 0-Day все это есть но с ними так просто не пообщаешься)

| Сообщение посчитали полезным:

Короче, постараюсь работать с этим своим файлом, надеюсь, норм. Если кто-то чекнет и подтвердит, что так - буду благодарен, а то и так нихрена не понятно, что с этим распакованным гадом делать, так ещё и на битым файлом корячиться не хватало))))

| Сообщение посчитали полезным:

Belg

Достаточно сравнить секции в двух файлах:

Файл на 6 метров:


Файл на 13 метров:


Обрати внимание на PhysSize, посчитай разницу.
У тебя в первой секции всё слито в один большой блок, в котором дофига нулей по факту.
В этой же секции лежит и DelayLoad импорт.

Представь, что у тебя есть несколько сдутых шариков, но ты их кладёшь в коробку для такого же количества, но только надутых шариков. В нашем случае "сдутый шарик" - это секция на диске, а "надутый шарик" - это секция в памяти процесса. У тебя в файле все шарики - "сдутые", но занимают место как "надутые", между ними куча ненужного воздуха. Это если образно.

По факту файл от ClockMan тоже можно ужать с 6502 KB до 5688 KB:



-----
EnJoy!

| Сообщение посчитали полезным:

Понятно, спасибо. А этот "ненужный воздух" будет в дальнейшем как-то мешаться или на него можно просто забить?

| Сообщение посчитали полезным:

Если размер файла не парит, то можно забить

-----
EnJoy!

| Сообщение посчитали полезным:

Jupiter пишет:
Если размер файла не парит, то можно забить

Ок, спасибо большое. Размер не парит, смущала лишь stream read error при загрузке в дизассемблер, но как я нагуглил, это какая-то фигня с переполнением памяти, а не с самим файлом, так что фиг с ним, тем более, что потом всё загружается

| Сообщение посчитали полезным: