Распаковка dll упакованной Themida

Сейчас на форуме: asfa, _MBK_ (+6 невидимых)

Посл.ответ	Сообщение
Xoluay Ранг: 6.3 (гость) Активность: 0=0 Статус: Участник	Создано: 19 февраля 2010 13:41 · Поправил: Xoluay · Личное сообщение · #1 Пытаюсь распаковать dll упакованной Themida, по тутору http://tuts4you.com/download.php?view.1780 проблемы начинаются при поиске EOP. Т.е я ставлю BP ZwFreeVirtualMemory и согласно тутору после того когда в EDI повторяется значение ставлю бряк доступа на память, но остановка происходит в коде Themida. Подскажите что не так делаю?

Vovan666 Ранг: 617.3 (!), 677thx Активность: 0.54↘0 Статус: Участник	Создано: 19 февраля 2010 14:05 · Личное сообщение · #2 Alt+O->Events->System breakpoint или если при открытии олька просто вылетает, обновить DBGHELP.DLL
Xoluay Ранг: 6.3 (гость) Активность: 0=0 Статус: Участник	Создано: 19 февраля 2010 14:07 · Личное сообщение · #3 спасибо уже с этим разобрался, теперь с поиском OEP не понимаю
Jupiter Ранг: 605.2 (!), 341thx Активность: 0.47↘0.25 Статус: Модератор Research & Development	Создано: 19 февраля 2010 17:03 · Личное сообщение · #4 Xoluay пишет: теперь с поиском OEP не понимаю постарайся выложить всю известную тебе информацию и все свои наработки в этой теме иначе отправляйся в запросы ----- EnJoy!
Xoluay Ранг: 6.3 (гость) Активность: 0=0 Статус: Участник	Создано: 19 февраля 2010 17:35 · Поправил: Xoluay · Личное сообщение · #5 Есть dll запакованная Themida 1.8.x.x ->, пытаюсь распаковать ее согласно выше приведенному тутору, проблемма возникает при поиске EOP а точнее после BP ZwFreeVirtualMemory и зацикливанию значения в edi как рассказанно в туторе ставлю бряк на секцию .code и запускаю на выполнение согласно тутору, но на OEP не попадаю! Вот и прошу направить меня немного! http://ifolder.ru/16495316 ссылка на сам файл
Xoluay Ранг: 6.3 (гость) Активность: 0=0 Статус: Участник	Создано: 21 февраля 2010 20:59 · Личное сообщение · #6 OEP я все таки нашел, сделал дамп, и очередной вопрос: в туторе после нахождения OEP, запускает UIF восстановить импорт, как этоже повторить для библиотеки? (т.е программа UIF работает только с процессами)
Vovan666 Ранг: 617.3 (!), 677thx Активность: 0.54↘0 Статус: Участник	Создано: 21 февраля 2010 21:25 · Личное сообщение · #7 указывай процесс loaddll.exe и вручную указывай начало и конец кода дллки.
Xoluay Ранг: 6.3 (гость) Активность: 0=0 Статус: Участник	Создано: 28 февраля 2010 16:11 · Личное сообщение · #8 Все дамп есть, импорт востановил, а как восстановить код, преобразованный вертуальной машиной? его как то можно востановить
Archer Ранг: 2014.5 (!!!!), 1278thx Активность: 1.34↘0.25 Статус: Модератор retired	Создано: 28 февраля 2010 16:25 · Личное сообщение · #9 Да, можно. Бери декомпиляй или дампи и антидампы правь.
Xoluay Ранг: 6.3 (гость) Активность: 0=0 Статус: Участник	Создано: 28 февраля 2010 18:50 · Личное сообщение · #10 А туторы есть по декомпиляции?
Archer Ранг: 2014.5 (!!!!), 1278thx Активность: 1.34↘0.25 Статус: Модератор retired	Создано: 28 февраля 2010 19:30 · Личное сообщение · #11 Нет. По дампингу, точнее, по антидампам частично есть на тутс4ю.
Xoluay Ранг: 6.3 (гость) Активность: 0=0 Статус: Участник	Создано: 01 марта 2010 04:40 · Личное сообщение · #12 Спасибо, ищу пока что есть

Для печати