An unpacker for themida's packed files. version 1.8.x.x to current.
download it from here:
www5.rapidupload.com/d.php?file=dl&filepath=38962

| Сообщение посчитали полезным:

roos slil.ru/26139205

-----
PSP-Gamer.ru

| Сообщение посчитали полезным:

Ну так что? Нету людей, кто смог бы помочь?

-----
Research For Food

| Сообщение посчитали полезным:

daFix
Ни как не могу найти Magic Jump в этой хрене.
А что такое Magic Jump ?

| Сообщение посчитали полезным:

Прыжок который надо править чтобы получить не редирекченный импорт

-----
Research For Food

| Сообщение посчитали полезным:

Вот какие уменя есть--> аутоунпакеры <-- http://rapidshare.com/files/144791087/UNThemida.rar.html
1.UnThemida1.0.exe
2.UnThemida 2.0.exe
3.UnThemida 3.0.exe
4.UnThemida 3.0-2003.exe
5.tmdunpacker.exe
Всего 1.9Mb

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

ClockMan пишет:
1.UnThemida1.0.exe
2.UnThemida 2.0.exe
3.UnThemida 3.0.exe
4.UnThemida 3.0-2003.exe
Не работают

-----
PSP-Gamer.ru

| Сообщение посчитали полезным:

daFix
Прыжок который надо править
Там,при работе с импортом, используется VM

| Сообщение посчитали полезным:

tempread
А есть какие нибудь варианты этого решения кроме разбора виртуальной машины?

-----
Research For Food

| Сообщение посчитали полезным:

daFix пишет:
А есть какие нибудь варианты этого решения кроме разбора виртуальной машины?

можно попробовать фиксить с помощью UIFa как в мувике от Jokera.

-----
127.0.0.1, sweet 127.0.0.1

| Сообщение посчитали полезным:

daFix
Если UIF не поможет, то я бы поступил следующим образом(для покоряженого импорта):
1)Подсматриваем какая функция сейчас обрабатывается(см. 103136с0, рег.eax)
2)Смотрим,что сейчас в импорт пишется(ставь мемори бряк на импорт)
3)Составляем таблицу соответствия
4)Используя таблицу, тупо во всем файле меняем вызов всех функций из импорта(нужно быть осторожным,http://exelab.ru/f/action=vthread&topic=11000&f orum=3&page=0#3)

| Сообщение посчитали полезным:

OKOB
Кинь линк на мувик

-----
Research For Food

| Сообщение посчитали полезным:

OKOB пишет:
фиксить с помощью UIFa
UIF для фимы лучше не юзать ;) да и вообще лучще не юзать

| Сообщение посчитали полезным:

pavka пишет:
да и вообще лучще не юзать

а что с ним не так?

| Сообщение посчитали полезным:

tempread
я находил 3 места: в первом в eax лежал адрес апи-функи (независимо, будет она редиректиться или нед), в двух других - место записи перенаправленной и неперенаправленной апи. дальше пишется скрепт, который это все дело фиксит. потом UIF + ImpRec делаает своё дело..

daFix пишет:
Ни как не могу найти Magic Jump в этой хрене...
в последних версиях ты его по стотьям не надешь, лучше немного потрейсить, там много чего интересного..

в фимке есть ещё такая фишка - с прогой может ликоваться длл проги, которая потом дропается в страницу памяти, там все настраиватся. соответственно импрек не видит этой длл и не восстанавливает иат. в моем случае длл я вытянул с памяти, функции в проге дописал руками, там их пару штук было. интересно, как аверы к такой длл относятся.

| Сообщение посчитали полезным:

А как быть с Виртуальной машиной темиды? Импорт восстановлен

-----
Research For Food

| Сообщение посчитали полезным:

daFix ее надо дампить вместе с основной прогой.
Она без проблем будет работать

-----
StarForce и Themida ацтой!

| Сообщение посчитали полезным:

Во 2 фиме работать будет с проблемой, на входе в вм код есть антидамповый, проверяет некоторые вещи, типа еп в хедере на 0...

| Сообщение посчитали полезным:

Хотел бы поподробнее узнать про ВМ фемиды. Где можно почитать, подскажите?

| Сообщение посчитали полезным:

Ну и мне тогда подкините информацию если у кого-то лишняя завалялась, очень заинтересовала фемида

-----
Research For Food

| Сообщение посчитали полезным:

daFix
нормальных стотей по фимке нету, из ценного можно выделить только скрепты с тутсфою..

| Сообщение посчитали полезным:

Почему нет? Все основные моменты раскрыты, просто нет описания собранного в одно целое, но при желании все можно найти, даже устройство ВМ (Бррр, за что не люблю Миду - мегабайты кода вместо пару инструкций, ну и тенденция...).

| Сообщение посчитали полезным:

kioresk

Направление поиска подскажите плиз.
А то ветвлений много слишком...

| Сообщение посчитали полезным:

Enclave пишет:
Хотел бы поподробнее узнать про ВМ фемиды.

Да не все так сложно , их всего несколько:
Mutable CISC Processor
Mutable RISC-64 Processor
Mutable RISC-128 Processor
Mutable CISC-2 Processor

О которой хотел бы узнать? По двум в сети есть инфа от китайцев.
А по одной полурабочие сырки анализатора (для одного виртуализированного куска).

Виртуалки вполне реализуемые, но для каждой конкретной программы из горы обфусцированного кода нужно выудить массу констант, и установить соответствие между опкодом (1но или 2х байтовым и
хэндлером виртуальной машины). Некоторые хэндлеры вообще могут не использоваться, для других может быть несколько опкодов. Таблицы соответствия фиксированного размера и обычно используются полностью.
Работа не одного дня.

Начинать лучше со старых версий, т.к. архитектура осталась почти неизменной, а то что раньше было в открытом виде (и сворачивалось ИДАвскими скриптами) сейчас изрядно обсфуцированно.

Для интересующихся в прицепе:
скрипты ИДА
oreans_VM1_make.idc - ищет (анализирует) в сдампленом файле вызовы виртуальной машины
(работает для старых версий)

oreans_info.idc - файлы констант для скриптов (старые версии фимы)

Пример разбора виртуальной машины Themida v1.8.0.0 Demo
(один из 90 виртуализированных участков)

vm76__1 - псевдокод выдаваемый анализатором
(псевдокод для виртуализированного кода участка начинается со строки с номером 798)
vm76.bat - асм код идентичный псевдокоду (на вход МАSM)
vm76__3 - кусок МАSM листинга по которому код патчится в дамп
vm76__4 - кусок листинга ИДА со следами анализа

Бонус: oreans_mark.idc - скрипт идентифицирующий вызываемый АПИ по хэшу имени
в старых версиях работает на ура, в новых много хэшей обфусцировано, но всеже
значительно упрощает статик анализ.



2dab_17.09.2008_CRACKLAB.rU.tgz - fima.rar

-----
127.0.0.1, sweet 127.0.0.1

| Сообщение посчитали полезным:

OKOB

Спасибо, пошел читать.

| Сообщение посчитали полезным:

К fima.rar полезно почитать и letitbit.net/download/ad8f99418824/caro-obfuscation.rar.html

| Сообщение посчитали полезным:

Весьма познавательно. Спасибо большое, где вы такое берете?

Возник такой вопрос. После дампа защищенной Фемидой проги (анпакером от OKDODO), вот что нашлось в коде:



Что это? Последняя инструкция передает управление на куски кода, аналогичные двум предыдущим. Их там очень много и итераций таких совершается порядка 10000. Концовку отследил, там несложно оказалось, но...

Хм, если почитать последнюю доку, то напрашивается очевидный ответ...

| Сообщение посчитали полезным:

tempread пишет:
К fima.rar полезно почитать
Тогда уже и rapidshare.com/files/146239538/virtualization_obfs.rar.html

-----
127.0.0.1, sweet 127.0.0.1

| Сообщение посчитали полезным:

Enclave,

посмотри еще:

Inside Code Virtualizer by scherzo http://rs58.rapidshare.com/files/16968098/Inside_Code_Virtualizer.rar (0.6 Мб)

Themida 1.9.1.x CISC Processor VM by softworm http://www.tuts4you.com/download.php?view.1890 (0.4 Мб, на китайском)

Fighting Oreans' VM (code virtualizer flavour) http://www.woodmann.com/forum/showthread.php?t=12015 (там же есть ссылки на анализ VMProtect'а, где RolfRolles описывает методики по восстановлению кода)

PS.
По бытовухе (анпак/crc) многое есть unpack.cn, плюс поиск по форуму никто не отменял.

| Сообщение посчитали полезным:

Форум в первую очередь просканировал.
Да, VM на первый взгляд похожа на эмуляцию разичных процессоров...когда то давно сам писал эмуль Z80
Очень полезная инфа, спасибо.

| Сообщение посчитали полезным:

Немножко не в тему, но по вмпротекту ни у кого нету облегчающих ее разбор скриптов? Можно приватом. А то застрял я на ней...

-----
.[ rE! p0w4 ].

| Сообщение посчитали полезным: