Сейчас на форуме: cppasm, asfa (+6 невидимых)

 eXeL@B —› Вопросы новичков —› Не могу разобраться с скриптом Themida - Winlicense Ultra Unpacker 1.4
Посл.ответ Сообщение

Ранг: 0.9 (гость)
Активность: 0=0
Статус: Участник

 Создано: 13 мая 2016 14:31
· Личное сообщение · #1

Настроил ollydbg как надо, подключил все нужные плагины, по видео работа идёт в windows xp, я на виртуалку её поставил (жертва не запускается, themida не даёт запуститься в виртуальной среде), в одном месте скрипт должен идти спокойно дальше, а в моём случае как раз таки программа запускается и идёт эта самая ошибка:

соотвественно скрипт дальше идти не хочет, и при нажатии "Ок" всё останавливается.



Ранг: 134.1 (ветеран), 246thx
Активность: 0.220.1
Статус: Участник
realist

 Создано: 13 мая 2016 14:39
· Личное сообщение · #2

Распаковуй на реальной системе,а не вирутальной и не будет этой ошибки



Ранг: 0.9 (гость)
Активность: 0=0
Статус: Участник

 Создано: 13 мая 2016 14:49
· Личное сообщение · #3

На основной windows 10 x64 вот что


Добавлено спустя 6 минут
На основной я вначале не заметил оповещения что плагин не работает на 64 системе, нужно использовать titan , с этим пока разобраться не могу, что именно нужно сделать

Ранг: 134.1 (ветеран), 246thx
Активность: 0.220.1
Статус: Участник
realist

 Создано: 13 мая 2016 14:56
· Личное сообщение · #4

WinXP используй не виртуалку.
Еслиу тебя виртуалка vmware, зайди в папку самой виртуальной системы найди файл <название твоей виртуальной системы>.vmx, открой его в тектовике и добавить такие строки
Code:
  1. isolation.tools.getPtrLocation.disable = "TRUE"
  2. isolation.tools.setPtrLocation.disable = "TRUE"
  3. isolation.tools.setVersion.disable = "TRUE"
  4. isolation.tools.getVersion.disable = "TRUE"
  5. monitor_control.disable_directexec = "TRUE"
  6. monitor_control.disable_chksimd = "TRUE"
  7. monitor_control.disable_ntreloc = "TRUE"
  8. monitor_control.disable_selfmod = "TRUE"
  9. monitor_control.disable_reloc = "TRUE"
  10. monitor_control.disable_btinout = "TRUE"
  11. monitor_control.disable_btmemspace = "TRUE"
  12. monitor_control.disable_btpriv = "TRUE"
  13. monitor_control.disable_btseg = "TRUE"
  14.  
  15. или
  16.  
  17. monitor_control.virtual_rdtsc = "false"
  18. monitor_control.restrict_backdoor = "true"
  19. isolation.tools.getPtrLocation.disable = "true"
  20. isolation.tools.setPtrLocation.disable = "true"
  21. isolation.tools.setVersion.disable = "true"
  22. isolation.tools.getVersion.disable = "true"
  23. monitor_control.disable_directexec = "true"

--> не ленись гуглить <--
ну или тут подробнее
https://exelab.ru/f/action=vthread&forum=5&topic=20633&page=1



Ранг: 0.9 (гость)
Активность: 0=0
Статус: Участник

 Создано: 13 мая 2016 15:13
· Личное сообщение · #5

эх, у меня VirtualBox



Ранг: 134.1 (ветеран), 246thx
Активность: 0.220.1
Статус: Участник
realist

 Создано: 13 мая 2016 15:17
· Личное сообщение · #6

ApTemkA пишет:
эх, у меня VirtualBox
ищи в гугле, там вроде несколько вариантов есть скрытия



Ранг: 0.9 (гость)
Активность: 0=0
Статус: Участник

 Создано: 13 мая 2016 15:21
· Личное сообщение · #7

Нашёл только это для VirtualBox
Code:
  1. Themida,StarForce
  2. Открывают ветку реестра по этому адресу "HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\System"
  3. и считывают с "SystemBiosVersion" в буффер "VBОX - 1",если присутствует слово VBОX то идёт детект виртуальной машины
  4.  
  5.  
  6. Как лечить:)
  7. 1.
  8. Открыть ветку реесстра:
  9. HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\System
  10. SystemBiosVersion "VBОX - 1"
  11. 2.
  12. Изменяем значение в разделе "SystemBiosVersion" на любое другое.

это 2011 года и не катит



Ранг: 134.1 (ветеран), 246thx
Активность: 0.220.1
Статус: Участник
realist

 Создано: 13 мая 2016 15:33 · Поправил: Jaa
· Личное сообщение · #8

ApTemkA
хреново ты гугл потрошишь
https://exelab.ru/f/action=vthread&forum=5&topic=22266
ну или пользуйся хп не виртуалкой или vmware, там обходится то что я выше написал



Ранг: 0.9 (гость)
Активность: 0=0
Статус: Участник

 Создано: 13 мая 2016 16:18
· Личное сообщение · #9

Ладно, такой вопрос по скриптам.
На программе рег окно Enigma, скрипт проработал, вышло так:


Далее как сохранить файл после работы скрипта? Показывается никаких изменений нет , а если сохраняю то отличий от оригинала нет:

Ранг: 134.1 (ветеран), 246thx
Активность: 0.220.1
Статус: Участник
realist

 Создано: 13 мая 2016 20:01
· Личное сообщение · #10

ApTemkA
посмотри наконец видео распаковки с этим скриптом и тебе все сразу яснее станет




Ранг: 253.5 (наставник), 684thx
Активность: 0.260.25
Статус: Участник
radical

 Создано: 14 мая 2016 00:31
· Личное сообщение · #11

Оно ж тебе в лог дало адрес, типа
Message=VMWare Address: 1710CBE | 1

если варьку юзаешь, по этому адресу не должен взводиться бит (флаг) детекта виртуалки.

Твои гигантские скриншоты никому кроме тебя здесь не интересны.

-----
ds


Ранг: 1131.7 (!!!!), 447thx
Активность: 0.670.2
Статус: Участник

 Создано: 14 мая 2016 09:14
· Личное сообщение · #12

ApTemkA, ссылку на сриншот нужно брать из поля [Для ФОРУМОВ] Превью - увеличение по клику


 eXeL@B —› Вопросы новичков —› Не могу разобраться с скриптом Themida - Winlicense Ultra Unpacker 1.4
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати