| Сейчас на форуме: Adler, asfa, bartolomeo (+8 невидимых) |
 |
eXeL@B —› Вопросы новичков —› Themida 2.* + VM |
| Посл.ответ | Сообщение |
|
|
Создано: 30 мая 2012 19:39 · Личное сообщение · #1 Учусь отвязывать зашиту, не надо говорить что такая связка очень сложна, хочу попробовать вдруг чтото получится, меня интересует информация по тому как снимается , в интернете есть скрипт но мне не интересно так хочу руками попробовать , а счего начать даже не знаю, может кто небуть поможет советами. Именно Themida 2.* + VM  |
|
|
Создано: 30 мая 2012 19:44 · Личное сообщение · #2 Father пишет: не надо говорить что такая связка очень сложна ... Father пишет: а счего начать даже не знаю, может кто небуть поможет советами. Именно Themida 2.* + VM со статей на этом сайте, в соответствующем разделе и со статей с tuts4you а вот потом уже надо создавать тему и писать в деталях, что делал и что не выходит. а не сейчас. гугл жив, попробуй пользоваться им. | Сообщение посчитали полезным: vnekrilov |
|
|
Создано: 31 мая 2012 00:18 · Личное сообщение · #3 Father пишет: есть скрипт но мне не интересно так хочу руками попробовать разберись со скриптом и повтори руками. ----- zzz |
|
|
Создано: 31 мая 2012 09:21 · Поправил: Loh_Ushastik · Личное сообщение · #4 Всем добрый день. Увидел тему и решил спросить у ГУРУ, ранее все версии Фимки что мне попадались, с триалом - хватало его продлевать ТралРестом. Сейчас ситуация такая: Пейд сказал - Themida/WinLicense V2.1.0.0 + -> Oreans Technologies * Sign.By.fly * 20090917 * ТриалРест нашел два файла : C:\Documents and Settings\All Users\Application Data\fpumeype.wyp C:\DOCUME~1\User\LOCALS~1\Temp\~3243249966.tmp после удаления которых эфекта "0"  или можэет его юзать нужно каким то особым способом?Забрячил RegKeyValueExA и посмотрел ключи реестра к которым обращяется программа, ничего подозрительного не нашел. CreateFileA тоже обращения только системным либам идет. Слышал про какой то драйвер Фимки, но пока об этом говорить не буду чтобы не смешить всех и не запинали ногами, а сначала почитаю. Вопрос? Кому не сложно, подкинте линков почитать или скопипастите сюда описание методов борьбы с Фимкиным триалом. Зарание всем откликнувшимся СПС. ADD: tihiy_grom действительно помогает  А средствами чего или каких (как) API Фимка их юзает? Может есть более универсальный способ (сигнатуры или ещё что то) кастрирования этого? |
|
|
Создано: 31 мая 2012 10:22 · Личное сообщение · #5 |
|
|
Создано: 04 июня 2012 17:34 · Поправил: sivorog · Личное сообщение · #6 Father возьмите Темиду хотя б отсюда http://exelab.ru/download.php?action=get&n=Nzk1 накройте ею калькулятор или блокнот, или другую простую вещицу. Можно несколько вариатнов, с антидампами и без, с заменой кода и без, с виртуализацией и без... ОЕП прог знаете, (скрипты есть), руки есть... хоккей!  ---UPDATED--- нашел довольно интересную вещь. распаковал Themida.Unpackme.exe от SCTeam, пользуясь мануалом от LCF-AT. исходный 752 кб, дамп 1,56 Мб и ужимается только до 1,20 Мб (7-Zip 9.25 alpha / PECompact 2.78a) у меня возник вопрос: WTF ?? путем hex просмотра, анализа энтропии, ... пришел к очевидному выводу: секция протектора весит 1,47 метра и в ней много (чего?) выяснилось - банального мусора. занопил кусок в, кажется, 700 Кб (ну около того) - работает! еще поменьше кусочки понаходил - 20, 12, 3 Кб, их много... теперь дамп, продолжая работать, весит те же 1,56 Мб, зато ужимается (теми же инструментами) до 443 / 461 кб! я не ампутировал ВМ Темиды, код прота я аккуратно весь оставил на месте... зато, пусть варварским методом, сделал Темиде липосакцию З.Ы. после перезагруза системы дампы стали ругаться: "System Error &H80070583. Класс не существует." это такой прикол от Visual Basic.  порылся на форумах, удалил из файла манифест... хвори как не бывало  http://rghost.ru/38684700 1,40 Мб |
|
eXeL@B —› Вопросы новичков —› Themida 2.* + VM |
Для печати