Привет. Ковыряю исполняемый файл онлайн игрушки, администрация фришарда, по всей видимости, склеила оригинальный файл с чем-то другим и все это закриптовано Themida (узнал по характерным ошибкам и просьбе выключить отладчик). Файл открывается архиватором, внутри среди прочего есть файлы .sforce3, .UPX0 и .UPX1 (о чем бы это могло сказать?) Пытался раскриптовать файл программой QuickUnpack, в результате получил файл размером в 3 раза больше исходного, который вызывает BSOD. И еще не работают программы, использующие внедрение dll, такие как WPE Pro.
Вопрос: как мне разлепить файл с прикрепленышем (а это вполне может быть троян), а также снять защиту Themida?

| Сообщение посчитали полезным:

Статьи читать, учиться и снимать. Либо в запросы (не забудь шапку там прочитать). Никакого конкретного вопроса нет, своей работы не видно, помимо нажимания пары кнопок в анпакере, файла тоже нет. Топик явно кандидат на закрытие.
З.Ы. И да, я оценил адрес твоей почты.

| Сообщение посчитали полезным:

Адрес как адрес. Я бы подтвердил регистрацию, но ссылки в письме нет. Насчет файла - я хотел приложить, но не знаю, как сделать тему только для зарегистрированных пользователей. Боюсь просто, что они могут наткнуться на эту тему и поменять все.
Уточню вопрос, пожалуй. Сначала надо разлеплять или раскриптовывать? У меня такое подозрение, что не получается нормальный файл из-за того, что там слеплены.
В какую сторону мне копать хотя бы?

Посмотрел тему запросов, там же нельзя спрашивать о играх (почему - не понял).

| Сообщение посчитали полезным:

Сделал я топик только для зарегистрированных.
Без разницы, что делать в первую очередь. Обычно сначала криптуют, потом джойнят файлы вместе (если отдельный криптор и джойнер). Следовательно, для распаковки сначала расцепляют, потом распаковывают. Кстати, по какой видимости ты решил, что файлы склеены, из вопроса непонятно.
Копать в сторону поиска статей по распаковке и долгого из раскуривания.
Да, про онлайн игры в запросах нельзя, я не зря сказал, шапку прочитать. А нельзя, потому что надоели уже на этом форуме гамеры-попрошайки.

| Сообщение посчитали полезным: Nagibator

Ну если открывается архиватором, то проблем вообще никаких, смотришь каким архиватором сделано, создаешь в нем sfx-болванку и приклеиваешь оверлей от пакованного файла.

| Сообщение посчитали полезным:

>по какой видимости ты решил, что файлы склеены
Ну вобщем игра теперь умеет то, чего не умеет на официальных серверах. Она автоматически запускает автоапдейтер, а также выводит дополнительное инфо на экран. Process Explorer пишет, что игра запущена с параметром (какой-то хэш), чего нет на официальных серверах.
Файл: _http://rghost.ru/4636496 (да, это она самая).
Автоапдейтер (тоже не прост, хотя к делу не относится: _http://rghost.ru/4636528
Адрес сервера: _http://asterios.tm
PEiD говорит, что не зашифровано, но там точно Themida.
У меня даже появилась идея изловить весь трафик сниффером и долго и упорно сверять различия между пакетами с официальных серверов и этим, а потом написать что-то вроде "корректора", т.к. обычный клиент или бот (который тоже "обычный" клиент) не могут присоединиться к нему.
>А нельзя, потому что надоели уже на этом форуме гамеры-попрошайки.
Понятно. Тогда можно тему не закрывать в ближайшие несколько дней, я если продвинусь, напишу здесь? Ну или кто-нибудь захочет помочь.

>смотришь каким архиватором сделано, создаешь в нем sfx-болванку и приклеиваешь оверлей от пакованного файла.
А вот теперь я ухожу в глубокий Google();

| Сообщение посчитали полезным:

Nagibator пишет:
Файл открывается архиватором, внутри среди прочего есть файлы .sforce3, .UPX0 и .UPX1 (о чем бы это могло сказать?)
Архиватор (видимо, 7z) просто показывает имена секций екзешника, судя по названиям он действительно зашифрован/упакован, так что можно не гуглить.
Достал themida 2.0.3.0, упаковал дельфевскую программу - что-то непохоже получилось на твой L2.exe.
Скорее всего это чё-нибудь самопальное, хотя могу ошибаться.

P.S:текст dos'овского стаба (к теме не относиться): Protected by DRiN's Security Lab ® 2010

| Сообщение посчитали полезным: Nagibator