Русский / Russian English / Английский

Сейчас на форуме: rmn, user99, jinoweb (+4 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS ·

 eXeL@B —› Протекторы —› Themida распаковка (пробовал скриптом)
<< . 1 . 2 .
Посл.ответ Сообщение

Ранг: 94.3 (постоянный)
Статус: Участник

Создано: 2 сентября 2016 08:56 New!
Цитата · Личное сообщение · #1

Hi All!
Прошу помощи в распаковке, прилагаю 2 файла упакованный и "распакованный" пробовал скриптом Themida - Winlicense Ultra Unpacker 1.4.
упакованный:
http://dropmefiles.com/6baiw
и распакованный
http://dropmefiles.com/SlScS
буду рад если укажете направление.
С уважением, Rio.


Ранг: 563.8 (!)
Статус: Участник
оптимист

Создано: 12 сентября 2016 02:23 New!
Цитата · Личное сообщение · #2

Rio тебе Hellspawn показал же? или ты не догнал?

Ранг: 95.8 (постоянный)
Статус: Участник

Создано: 12 сентября 2016 08:43 New!
Цитата · Личное сообщение · #3

Это он нализался коктейля, которым с ним поделился покемон reversecode из соседней ветки.

Ранг: 94.3 (постоянный)
Статус: Участник

Создано: 12 сентября 2016 08:48 New!
Цитата · Личное сообщение · #4

ClockMan
пока не "догнал"(

Ранг: 421.5 (мудрец)
Статус: Участник

Создано: 12 сентября 2016 09:44 · Поправил: 12 сентября 2016 09:55 dosprog New!
Цитата · Личное сообщение · #5

Таблица импорта содержит настроенные при распаковочном запуске адреса импортированных функций. Проще говоря, грязь.
(Судя по --> скриншоту от Hellspawn<-- . В той колонке, куда укаывает стрелка).


Ранг: 563.8 (!)
Статус: Участник
оптимист

Создано: 12 сентября 2016 11:43 New!
Цитата · Личное сообщение · #6

dosprog
содись два))) у него табличка восстановлена по ординалу, в настройках надо отключить когда импорт восстанавливаешь)

Ранг: 94.3 (постоянный)
Статус: Участник

Создано: 12 сентября 2016 11:44 New!
Цитата · Личное сообщение · #7

Может как раз прояснит:
http://dropmefiles.com/IlRtl


Ранг: 563.8 (!)
Статус: Участник
оптимист

Создано: 12 сентября 2016 11:53 New!
Цитата · Личное сообщение · #8

дамп выложи свой ещё посмотрю)

Ранг: 94.3 (постоянный)
Статус: Участник

Создано: 12 сентября 2016 12:09 New!
Цитата · Личное сообщение · #9

ClockMan
http://dropmefiles.com/mGj3Q

Ранг: 421.5 (мудрец)
Статус: Участник

Создано: 12 сентября 2016 14:47 · Поправил: 12 сентября 2016 15:05 dosprog New!
Цитата · Личное сообщение · #10

ClockMan пишет:
содись два)))


) Бывает, чо.. Файлов-то уже нету.

Добавлено спустя 2 минуты

.. а, вот ..

Rio пишет:
ClockMan
http://dropmefiles.com/mGj3Q


в заголовке адрес таблицы импорта указывает в никуда.

Code:
  1. ============================================================
  2.  Directory          at offset 00000178
  3. =============================================================================
  4.  Directory name             RVA     Size
  5. --------------------------  --------  --------
  6.  Export                   0121E5D8  0000004A
  7.  Import                     01A03000  000045EC   <-------------(!)
  8.  Resource                   00789000  0043C2DC
  9.  Exception                  00000000  00000000
  10.  Security                   00616C00  00001708
  11.  Base Relocation            0121E5C8  00000010  
  12.  Debug              00000000  00000000
  13.  Decription/Architecture    00000000  00000000
  14.  Machine Value              00000000  00000000
  15.  Thread Storage             00000000  00000000
  16.  Load Configuration         00000000  00000000
  17.  Bound Import               00000000  00000000
  18.  Import Address Table       00000000  00000000
  19.  Delay Import               00000000  00000000
  20.  COM Runtime Descriptor     00000000  00000000
  21.  (reserved)                 00000000  00000000

Ранг: 94.3 (постоянный)
Статус: Участник

Создано: 12 сентября 2016 15:05 New!
Цитата · Личное сообщение · #11

dosprog
начало таблицы правильное 00401449?

Ранг: 421.5 (мудрец)
Статус: Участник

Создано: 12 сентября 2016 15:09 · Поправил: 12 сентября 2016 15:25 dosprog New!
Цитата · Личное сообщение · #12

Rio пишет:
начало таблицы правильное 00401449?


Ерунда какая-то..

;----------------------------------------------------
.004013F0: 66 61 63 65-64 4F 62 6A-65 63 74 D0-13 40 00 84 facedObject╨ @ ä
.00401400: 12 40 00 00-00 06 53 79-73 74 65 6D-00 00 8B C0 @ System ï└
.00401410: 14 14 40 00-11 0B 54 42-6F 75 6E 64-41 72 72 61 @ TBoundArra
.00401420: 79 04 00 00-00 00 00 00-00 03 00 00-00 84 10 40 y ä @
.00401430: 00 06 53 79-73 74 65 6D-3C 14 40 00-04 09 54 44 System< @ TD
.00401440: 61 74 65 54-69 6D 65 01- FF (*!!!!!*) 25 F4 A3-B0 00 8B C0 ateTime  %⌠ú░ ï└
.00401450: FF 25 F0 A3-B0 00 8B C0-FF 25 EC A3-B0 00 8B C0  %≡ú░ ï└ %∞ú░ ï└
.00401460: FF 25 E8 A3-B0 00 8B C0-FF 25 E4 A3-B0 00 8B C0  %Φú░ ï└ %Σú░ ï└
.00401470: FF 25 E0 A3-B0 00 8B C0-FF 25 DC A3-B0 00 8B C0  %αú░ ï└ %▄ú░ ï└
.00401480: FF 25 D8 A3-B0 00 8B C0-FF 25 D4 A3-B0 00 8B C0  %╪ú░ ï└ %╘ú░ ï└
.00401490: FF 25 D0 A3-B0 00 8B C0-FF 25 CC A3-B0 00 8B C0  %╨ú░ ï└ %╠ú░ ï└
.004014A0: FF 25 C8 A3-B0 00 8B C0-FF 25 08 A4-B0 00 8B C0  %╚ú░ ï└ % ñ░ ï└
.004014B0: FF 25 C4 A3-B0 00 8B C0-FF 25 C0 A3-B0 00 8B C0  %─ú░ ï└ %└ú░ ï└
.004014C0: FF 25 BC A3-B0 00 8B C0-FF 25 04 A4-B0 00 8B C0  %╝ú░ ï└ % ñ░ ï└
.004014D0: FF 25 B8 A3-B0 00 8B C0-FF 25 B4 A3-B0 00 8B C0  %╕ú░ ï└ %┤ú░ ï└
.004014E0: FF 25 B0 A3-B0 00 8B C0-FF 25 AC A3-B0 00 8B C0  %░ú░ ï└ %¼ú░ ï└
.004014F0: FF 25 A8 A3-B0 00 8B C0-FF 25 A4 A3-B0 00 8B C0  %¿ú░ ï└ %ñú░ ï└
.00401500: FF 25 A0 A3-B0 00 8B C0-FF 25 9C A3-B0 00 8B C0  %áú░ ï└ %£ú░ ï└
.00401510: FF 25 98 A3-B0 00 8B C0-FF 25 94 A3-B0 00 8B C0  %ÿú░ ï└ %öú░ ï└
.00401520: FF 25 90 A3-B0 00 8B C0-FF 25 8C A3-B0 00 8B C0  %Éú░ ï└ %îú░ ï└
.00401530: FF 25 88 A3-B0 00 8B C0-FF 25 84 A3-B0 00 8B C0  %êú░ ï└ %äú░ ï└
.00401540: FF 25 00 A4-B0 00 8B C0-FF 25 80 A3-B0 00 8B C0  % ñ░ ï└ %Çú░ ï└
.00401550: FF 25 7C A3-B0 00 8B C0-FF 25 78 A3-B0 00 8B C0  %|ú░ ï└ %xú░ ï└
.00401560: FF 25 18 A4-B0 00 8B C0-FF 25 14 A4-B0 00 8B C0  % ñ░ ï└ % ñ░ ï└
.00401570: FF 25 10 A4-B0 00 8B C0-FF 25 74 A3-B0 00 8B C0  % ñ░ ï└ %tú░ ï└
.00401580: FF 25 70 A3-B0 00 8B C0-FF 25 6C A3-B0 00 8B C0  %pú░ ï└ %lú░ ï└
.00401590: FF 25 28 A4-B0 00 8B C0-FF 25 24 A4-B0 00 8B C0  %(ñ░ ï└ %$ñ░ ï└
.004015A0: FF 25 20 A4-B0 00 8B C0-FF 25 68 A3-B0 00 8B C0  % ñ░ ï└ %hú░ ï└
.004015B0: FF 25 64 A3-B0 00 8B C0-FF 25 60 A3-B0 00 8B C0  %dú░ ï└ %`ú░ ï└
.004015C0: FF 25 5C A3-B0 00 8B C0-FF 25 58 A3-B0 00 8B C0  %\ú░ ï└ %Xú░ ï└
.004015D0: FF 25 54 A3-B0 00 8B C0-53 83 C4 BC-BB 0A 00 00  %Tú░ ï└Sâ─╝╗
.004015E0: 00 54 E8 41-FF FF FF F6-44 24 2C 01-74 05 0F B7 TΦA   ÷D$, t ╖
.004015F0: 5C 24 30 8B-C3 83 C4 44-5B C3 8B C0-FF 25 50 A3 \$0ï├â─D[├ï└ %Pú
.00401600: B0 00 8B C0-FF 25 4C A3-B0 00 8B C0-FF 25 48 A3 ░ ï└ %Lú░ ï└ %Hú
.00401610: B0 00 8B C0-FF 25 44 A3-B0 00 8B C0-FF 25 40 A3 ░ ï└ %Dú░ ï└ %@ú
.00401620: B0 00 8B C0-FF 25 3C A3-B0 00 8B C0-FF 25 38 A3 ░ ï└ %<ú░ ï└ %8ú
.00401630: B0 00 8B C0-FF 25 34 A3-B0 00 8B C0-53 83 C4 F4 ░ ï└ %4ú░ ï└Sâ─⌠
.00401640: BB E8 E5 AF-00 83 3B 00-75 59 68 44-06 00 00 6A ╗Φσ» â; uYhD j
.00401650: 00 E8 A6 FF-FF FF 89 44-24 08 83 7C-24 08 00 75 Φª   ëD$ â|$ u
.00401660: 07 33 C0 89-04 24 EB 50-8B 44 24 08-8B 15 E4 E5 3└ë $δPïD$ ï Σσ
.00401670: AF 00 89 10-8B 44 24 08-A3 E4 E5 AF-00 33 C0 8B » ë ïD$ úΣσ» 3└ï
.00401680: D0 03 D2 8B-4C 24 08 8D-54 D1 04 89-54 24 04 8B ╨ ╥ïL$ ìT╤ ëT$ ï
.00401690: 54 24 04 8B-0B 89 0A 8B-54 24 04 89-13 40 83 F8 T$ ï ë ïT$ ë @â°
.004016A0: 64 75 DC 8B-03 89 44 24-04 8B 44 24-04 8B 00 89 du▄ï ëD$ ïD$ ï ë
.004016B0: 03 8B 44 24-04 89 04 24-8B 04 24 83-C4 0C 5B C3 ïD$ ë $ï $â─ [├
.004016C0: 89 00 89 40-04 C3 8B C0-53 56 83 C4-F8 8B F2 8B ë ë@ ├ï└SVâ─°ï≥ï
;----------------------------------------------------

Ранг: 94.3 (постоянный)
Статус: Участник

Создано: 12 сентября 2016 15:29 · Поправил: 12 сентября 2016 15:30 Rio New!
Цитата · Личное сообщение · #13

в оле по ff 25 (ctrl-b) : 00401448 $- FF25 F4A3B000 JMP NEAR DWORD PTR DS:[0xB0A3F4] ; kernel32.CloseHandle.
в дампе:00B0A3F4 7C809D07 ќЂ| kernel32.CloseHandle

Ранг: 421.5 (мудрец)
Статус: Участник

Создано: 12 сентября 2016 15:36 New!
Цитата · Личное сообщение · #14

Программа себе там чего-то поназагружала динамически.
Это не структура PE.

Ранг: 94.3 (постоянный)
Статус: Участник

Создано: 12 сентября 2016 15:45 New!
Цитата · Личное сообщение · #15

dosprog
теперь выкидывает такое:


{ Атач доступен только для участников форума } - Безымянный.JPG

Ранг: 421.5 (мудрец)
Статус: Участник

Создано: 12 сентября 2016 15:52 New!
Цитата · Личное сообщение · #16

Работать этот дамп не будет.
В оригинале, похоже, таблица импорта была где-то в районе .00B0A000.

| Сообщение посчитали полезным: Rio



Ранг: 563.8 (!)
Статус: Участник
оптимист

Создано: 12 сентября 2016 16:40 · Поправил: 12 сентября 2016 17:41 ClockMan New!
Цитата · Личное сообщение · #17

Rio пишет:
теперь выкидывает такое:

unpack--> Link <--


/*454236*/ JE SHORT 0045423A
/*454238*/ MOV BL,1
/*45423A*/ MOV EAX,[EBP-4]

хз у меня всё стартует unpack--> Link <--

| Сообщение посчитали полезным: Rio


Ранг: 94.3 (постоянный)
Статус: Участник

Создано: 12 сентября 2016 17:24 · Поправил: 13 сентября 2016 13:26 Rio New!
Цитата · Личное сообщение · #18

ClockMan
Второй отлично, благодарю.
С уважением, Rio.
<< . 1 . 2 .
 eXeL@B —› Протекторы —› Themida распаковка (пробовал скриптом)

Видеокурс ВЗЛОМ