eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 2 августа!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: gurololicon, Adler, Slinger (+2 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Протекторы —› Распаковка Themida последних версий: туторы, скрипты, плагины.
. 1 . 2 . 3 . 4 . 5 . >>
Посл.ответ Сообщение

Ранг: 40.4 (посетитель)
Статус: Участник

Создано: 3 октября 2010 09:17 New!
Цитата · Личное сообщение · #1

Доброго время суток, в данной статье предлагаю размещать различные мануалы по снятию темиды, а также полезные программы и скрипты. Я знаю, что такая тема уже задавалась на кряклябе, но потом проект как-то заглох, да и темида уже давно обновилась. Ну чтож, в добрый путь, друзья!


Ранг: 282.8 (наставник)
Статус: Участник
win32.org.ru

Создано: 3 октября 2010 09:29 New!
Цитата · Личное сообщение · #2

Ну так, эт самое, — размещай

Ранг: 40.4 (посетитель)
Статус: Участник

Создано: 3 октября 2010 09:38 New!
Цитата · Личное сообщение · #3

Guru_eXe пишет:
Ну так, эт самое, — размещай

В том-то и дело, что у меня ничего подобного нет. Только скрипт для снятия старых версий прота, да и то вы можете его найти в соседней теме.

Ранг: 1.0 (гость)
Статус: Участник

Создано: 8 октября 2010 15:54 New!
Цитата · Личное сообщение · #4

поговорили и нечего не разместили... хоть бы тогда привели уже существующие скрипты, для каких версий подходит и т.д.

Ранг: 137.9 (ветеран)
Статус: Участник

Создано: 8 октября 2010 18:52 · Поправил: yanus0 New!
Цитата · Личное сообщение · #5

The.Themida.Winlicense.Full.Cracking.Package-Q
from http://forum.tuts4you.com/index.php?showtopic=21657&hl=themida&st=120
WL.&.TM.VM.dumper.&.IAT.CodeEnc.Fixer.v2.6.0-SnD
A script to unpack all known versions of Winlicense and Themida using any options.

The script will unpack all known Themida and Winlicense applications
using virtual machine antidump on Windows XP. (v1.8x - 2.1.0.0)

Known issues;
-Version retrieving can error, switch it off when neccesary.
-VM oeps are not always retrieved you must rebuild or find them yourself.
-Memory loaded dll's are not dumped.
-The script stops after asking for the new antidump locations, just resume the script when it does.

Usage;
Step 1: Unpack an application using this script.
(Start at system entrypoint, EP break must be available,
no other breakpoints)
Step 2: When neccesary attach the dumped VM. Fix VM oep.
Step 3: Dump and Imprec.

Always read the log it holds vital information. Also there are several options that can be modified in the first few lines of this script.
Tinker with it if it doesn't unpack your app.

The.Oreans.(Themida&Winlicense).VM.antidumps-Q
An article covering all antidumps, including more newer ones.


Running.Winlicense.Protected.Applications.Without.Licenses-SND
An article on how to run Winlicense protected apps without licenses.


I owe my gratitude to the whole of the webscene for support,
inspiration , ideas and the supply of information/executables.

Especially;

-A lot of suppliers.
-ARteam for being rumored to be the first to have found the first antidumps.
-An unnamed American.
-Lena for showing so many people the way.
-Teddy, for supplying us tuts4you.
-Team SND old and new members.

And most of all just have fun with this all. Use it for knowledge, the challenge and fun.
Monetary gain is never to be aspired.

regards


{ Атач доступен только для участников форума } - The.Themida.Winlicense.Full.Cracking.Package-Q.rar

| Сообщение посчитали полезным: SDK


Ранг: 137.9 (ветеран)
Статус: Участник

Создано: 8 октября 2010 18:54 New!
Цитата · Личное сообщение · #6

TM - WL HWID & BASIC Inline Patcher 1.0 CISC & RISC & CRC Inline Example Movies
from Link
Features:
***************************************************
- The script writes a BASIC Inline patch + 1 API Hook in the new section or at a free address
- Script is checking for CISC or RISC
- Script is checking for CRC address & DWORD and it filled the new one
- Script is checking for HWID & TRIAL / Old & New till v.20.65
- Script also writes the HWID & TRIAL Inline / Old or New / CISC or RISC into the .MaThiO section
- End Results Box after script finish.
]Download


Ранг: 76.9 (постоянный)
Статус: Участник

Создано: 16 октября 2010 09:50 · Поправил: BAHEK New!
Цитата · Личное сообщение · #7

Themida - Winlicense 1.x - 2.x Imports Fixer Edition 1.0 by SnD

from forum.tuts4you.com/index.php?showtopic=24057

Original script was extended with some new features.....

- FAST-IAT-PATCH
- Normal MJ patching
- Second VM OEP Finder Intelli Version + VM Stopper!
- Heap Skip
- TM WL section address alloc fix
- Eax -1 Skip [OS SP Problem] | SetEvent will rebuild if used!
- etc

{ Атач доступен только для участников форума } - Themida - Winlicense 1.x - 2.x Imports Fixer Edition 1.0 by SnD(2).rar


Ранг: 516.8 (!)
Статус: Участник
Победитель турнира 2010

Создано: 16 октября 2010 12:37 New!
Цитата · Личное сообщение · #8

Author: LCF-AT
Date: Friday 15 October 2010
Today I want to post a new TM & WL Unpack script. So you know already the TM WL unpack script by Quosego which is public for a long time now and which is also very good. The only problem which you will have that this script can take a long time to unpack a large size target so I remember I have use it with a target xy where the script was working over 3 hours. So this is a big problem if you have a low level PC system like me and I hate to wait so I am also lazy like you! Someday I started to mod the original script by Quosego and added a few direct API patching code parts which allows to patch all API's in a few seconds and the waiting time was over now. It's already some time ago where I have done this. Now our friend SuperCRacker has written a new tool called Imports Fixer which can do this like my code patches. So this tool can fix also the direct API's and also with the original IAT if you want. So this was now also a reason for me to create a new mod in the last 2 days of the original script by Quosego which can also get the IAT with the fast special IAT patch [Remember my L.B.C unpacker script] and brings you very fast to the OEP where you now can use the Imports Fixer tool. I added also some new stuff. The main thing is that you now can use this new script on 2 diffrent ways.You can use it as always [quosego way] or you use the new and fast unpack method [LCF-AT way + Imports Fixer Tooly by SuperCRacker]. You can choose now. I also have created three unpack session movies where you can see how to use the new method and how to work with the Imports Fixer. This is also the reason why I call this script now.

tuts4you.com/download.php?view.3013


Ранг: 748.2 (! !)
Статус: Участник
bytecode!

Создано: 26 октября 2010 21:39 New!
Цитата · Личное сообщение · #9

Немного инфы о TM (не крэк)
habrahabr.ru/blogs/infosecurity/106920/


Ранг: 390.8 (мудрец)
Статус: Участник
REVENGE сила, БеХоЦе могила

Создано: 26 октября 2010 22:48 New!
Цитата · Личное сообщение · #10

Смешно читать коменты. Не разобрался как в выложенных макросах восстанавливать переходники (Сall и Jmp). Написал для себя небольший скриптос, который восстанавливает импорт по обращению в секцию кода. А так вся темида фуфло (подпись)

Ранг: 156.1 (ветеран)
Статус: Участник
Капрал

Создано: 27 октября 2010 08:44 New!
Цитата · Личное сообщение · #11

Почитал, посмотрел и понял: что все эти скрипты без видео урока не курятся. Зато видео даст фору любой статье с картинками. ImportFix хорошая тулза, но всё равно пилить и пилить еще руками до рабочего дампа


Ранг: 95.2 (постоянный)
Статус: Участник

Создано: 20 декабря 2010 21:44 New!
Цитата · Личное сообщение · #12

Народ, а есть тут пипл который с мидой хорошой знаком?
Есть тут прога одна, она запускается нормально, но некоторые функции без лицензии не доступны, лицензия импортится из файла в что-то типа license manager, попробывал обнулить дворды на волшебном cmp ecx,eax - прога падает, валидной лицензии нету.
Вообще, тут есть смысл мучать её без валидной лицензии, или эти функции совсем покриватованны?

Ранг: 3.4 (гость)
Статус: Участник

Создано: 10 апреля 2011 01:01 · Поправил: 7770777 New!
Цитата · Личное сообщение · #13

http://forum.tuts4you.com/index.php?showtopic=25554&st=0

Themida - Winlicense 1.x - 2.x Multi PRO Edition 1.0 New unpack script and 7 how to use movie tutorial's

Posted 27 March 2011

Themida - Winlicense 1.x - 2.x Multi PRO Edition 1.0
****************************************************
( 1.) Unpacking of WinLicense & TheMida Targets
( 2.) Three Way Unpack Choice Possibilities x3
( 3.) Supports IAT Special Patch & ESP CRC Checking
( 4.) Use UIF or ImportsFixer or Script + DI Patch
( 5.) Code-En-Crypt Fixer
( 6.) Cryp-To-Code Fixer
( 7.) Version Identification
( 8.) Magic Jump Finder
( 9.) Manually Enable & Disable Option Choice
( 10.) VM OEP Finder xII + [Intelli Version]
( 11.) 500 Bytes Extra Stack-Anti-Dump Checking
( 12.) Master Direct API Code Patching
( 13.) TLS Callback Killer
( 14.) Choice To Break Close On HWID & TRIAL Stop
( 15.) Turbo Patching Mode
( 16.) VM WARE Fixer by quosego
( 17.) EXE & DLL Support with LoadDll
****************************************************

Attached File(s):

Themida - Winlicense 1.x - 2.x Multi PRO Edition 1.0 Tutorials.rar (13.28MB)
Themida - Winlicense 1.x - 2.x Multi PRO Edition 1.0.rar (23.75K)
Tutorial UnpackMe Set.rar (12.59MB)

| Сообщение посчитали полезным: valera_vv, Aqel


Ранг: 16.8 (новичок)
Статус: Участник

Создано: 3 сентября 2011 11:45 New!
Цитата · Личное сообщение · #14

Статью на русском по распаковке Themida v2 кто-то встречал?
Никак найти не могу.


Ранг: 328.7 (мудрец)
Статус: Участник

Создано: 25 октября 2011 10:35 New!
Цитата · Личное сообщение · #15

ищу прогу на которой winlicense + xbundle и есть лицензия - желательно негромоздкую

Ранг: 2.3 (гость)
Статус: Участник

Создано: 30 ноября 2011 09:46 · Поправил: aza811 New!
Цитата · Личное сообщение · #16

r99 могу подкинуть такую прогу


Ранг: 390.8 (мудрец)
Статус: Участник
REVENGE сила, БеХоЦе могила

Создано: 30 ноября 2011 11:10 · Поправил: Maximus New!
Цитата · Личное сообщение · #17

Поделюсь своими наработками.
1. CPUID можно определить так. Прогоняете такой алго
Code:
  1.    var mCPUID: array [1..8] of byte;
  2.  
  3.    asm
  4.       SUB EAX,EAX
  5.       CPUID
  6.       XOR dword [mCPUID[0]],EBX
  7.       XOR dword [mCPUID[0]],ECX
  8.       XOR dword [mCPUID[0]],EDX
  9.       TEST EAX,EAX
  10.       JE loop1
  11.       SUB EAX,EAX
  12.       INC EAX
  13.       CPUID
  14.       SUB dword [mCPUID[4]],EAX
  15.       ADD dword [mCPUID[4]],EDX
  16.       TEST EDX,$40000
  17.       JE loop1
  18.       MOV EAX,1
  19.       CPUID
  20.       PUSH EAX
  21.       MOV EAX,3
  22.       CPUID
  23.       POP EBX
  24.       XOR dword [mCPUID[4]],ECX
  25.       ADD dword [mCPUID[4]],EDX
  26.       SUB dword [mCPUID[4]],EAX
  27. loop1:
  28.    end;


Получаете массив из 8 символов, ищите его в секции Темиды. Находите, ставите бряк.
Как только поймали это будет определение CPUID в теле темиды, все, можно его подменять прямо тут.

2. Темида отлавливает изменение на диске в жертве с помощью процедуры MapViewOfFile. Обходится так.
a) Копируете сигнатуру MapViewOfFile из kernel32, ищите ее в памяти (Темида копирует системные библы в другое адресное пространство что бы нельзя было отловить бряки на системные функции.
b) После того как находите сигнатуру запоминаете ее адрес и ищете этот адрес в теле темиды.
с) Как только нашли адрес, туда можно вписывать ссылку на свою процедуру MapViewOfFile, которая будет возвращать неизмененный дамп, типа такого:

Code:
  1. // Возвращает смапированный файл в первоначальный вид
  2. procedure MapViewOfFile_proc;
  3. asm
  4.    MOV DWORD [ESP+8],1 // READ/WRITE
  5.    CALL [dMapFile]     // MapViewOfFile
  6.    MOV dTemp, EAX
  7.    CALL ClearMappedFile
  8.    MOV EAX, dTemp
  9. end;


3) Импорт восстанавливать можно так
a) Находите по какому адресу загружена kernel32.dll
b) Ищете этот адрес в секции темиды и ставите на него бряк.
с) Бряк сработает на такой инструкции, а в EAX будет ссылка на реальную функцию импорта:

Code:
  1. 008D5FA9   8B9D 610E3F0D    MOV EBX,DWORD PTR SS:[EBP+D3F0E61]       ; kernel32.7C800000
  2. >>EAX 77DC776C ADVAPI32.RegCreateKeyExW


d) дальше можно поставить бряк на секцию кода, и подправить после записи туда и в ИАТ функцию. Написав небольшой скрипт это можно сделать на автомате и потом, стоя на ОЕП уже можно делать дамп.

4) Если есть ключ на любой хвид, то можно отвязать ключ от тачки. Достаточно изменить один дворд в секции темиды. Я делаю это путем сравнения 2-х дампов секции темиды с машины на которую пореган ключ и с левой машины.

| Сообщение посчитали полезным: OKOB, _ruzmaz_, hlmadip, huckfuck, tihiy_grom, PE_Kill, -Sanchez-, ManHunter, obfuskator, shadow_user, yagello, daFix, Autokent



Ранг: 534.2 (!)
Статус: Участник
оптимист

Создано: 30 ноября 2011 15:57 New!
Цитата · Личное сообщение · #18

Ну и до кучи при расспаковке dll накрытой Темидой нужно будет восстановить релоки,так темида их непортит и они грузятся в память целым блоком ,грузим жертву и отпускаем её в свободное плавание и ищем комманду MOV [IBD + XXXXXXXX],EAX ну или любую другую которая без релоков робить небудет ставим бряк на запись и перезапускаем жмём F9 несколько раз пока невыйдем вот натокой код(процедура перестройки релоков)
Code:
  1. /*1009AC69*/  MOV BX,[ECX]====> в [ecx] находится таблица релоков 
  2. /*1009AC6C*/  TEST BX,0F000
  3. /*1009AC71*/  JE 1009ACB7
  4. /*1009AC77*/  AND EBX,0FFF
  5. /*1009AC7D*/  ADD EBX,EAX
  6. /*1009AC7F*/  CMP DWORD PTR [EBP+808171D],0
  7. /*1009AC86*/  JE 1009ACA7
  8. /*1009AC8C*/  CMP BYTE PTR [EBX-1],0C5
  9. /*1009AC90*/  JNZ 1009ACA7
  10. /*1009AC96*/  CMP DWORD PTR [EBP+80800B5],0
  11. /*1009AC9D*/  JE 1009ACA7
  12. /*1009ACA3*/  MOV BYTE PTR [EBX-1],0E9
  13. /*1009ACA7*/  CMP DWORD PTR [EBX],90909090
  14. /*1009ACAD*/  JE 1009ACB7
  15. /*1009ACB3*/  SUB [EBX],ESI
  16. /*1009ACB5*/  ADD [EBX],EDI
  17. /*1009ACB7*/  ADD ECX,2
  18. /*1009ACBA*/  SUB EDX,2
  19. /*1009ACBD*/  JNZ 1009AC69

останется только найти начало и её конец что думаю невызовит никаких затруднений.

| Сообщение посчитали полезным: tihiy_grom, huckfuck, _ruzmaz_, obfuskator, daFix, neprovad, sivorog



Ранг: 79.4 (постоянный)
Статус: Участник

Создано: 1 декабря 2011 21:45 · Поправил: AKAB New!
Цитата · Личное сообщение · #19

Target : FontCreator v6.5

Tools: OllyDBG, EXEinfope, PEiD 0.95
RDG Packer Detector v0.6.7, DUP 2
Import REC , LordPE , ToPo
Imports Fixer 1.5

Method: Unpacking_Inline Patching by Api hooking

Level: ?


Made By: PerTic@n(Hamid-Pardazan)

Made Date : 30/11/2011
--------------
Part1(unpacking&cracking):
http://hotfile.com/dl/136383347/5f68a21/Part1_Unpacking_Cracking.rar.html
--
Part2(unpacking&cracking):
http://hotfile.com/dl/136421170/1f13426/Part2_Inline_Patching.rar.html
---
Target + inline patch:
http://hotfile.com/dl/136425769/9cc19bf/Target_Patch_InlinePatch.rar.html


References:
Themida Unpacking By hacnho

Themida + WinLicense 1.1.0.0 - 2.1.0.0 (Unpacking) By quosego(Snd Team)

Unpack WinLicense-TheMida 2.0.1.0 By LCF-AT (Snd Team)

Themida 2.0 Unpack Tut By Root(quequero.org)

Inline Patching Protected Applications (Hooking API Functions) By SubZero (Snd Team)

Themida Unpacking Tut By Joker_Italy

| Сообщение посчитали полезным: shadow_user, SReg, hlmadip


Ранг: 287.7 (наставник)
Статус: Модератор
CrackLab

Создано: 2 декабря 2011 02:12 New!
Цитата · Личное сообщение · #20

AKAB пишет:
Target : FontCreator v6.5

мдя... таргет с по-нубски навешаным протом взял, он там скорее как пугало просто
взял бы и снял с самой фимки...


Ранг: 390.8 (мудрец)
Статус: Участник
REVENGE сила, БеХоЦе могила

Создано: 2 декабря 2011 09:49 · Поправил: Maximus New!
Цитата · Личное сообщение · #21

SReg да там как прот не вешай его все равно снять можно, даже VM можно убить общедоступными способами имея немного терпения.

P.S: Смотри подпись

Ранг: 617.3 (!)
Статус: Участник

Создано: 2 апреля 2012 11:13 New!
Цитата · Личное сообщение · #22

Видео по настройке олли и плагинов под фимку+плагины+unpackmes
Tuts4You
Code:
  1. Hello,
  2.  
  3. today I show you again how to setup your Olly & Plugins to get your TM WL etc targets 
  4. running on your system.
  5.  
  6. - odbg110.zip
  7. ----------------------------------
  8. [Exceptions]
  9. Custom[0]=00000000,FFFFFFFF
  10.  
  11. - StrongOD v0.4.6.816.rar
  12. ----------------------------------
  13. DriverName=faser
  14.  
  15. - PhantOm 1.54 use for XP Only.rar
  16. ----------------------------------
  17. HIDENAME=toktok  // Only if you want to use this driver
  18.  
  19. - Do not use Phant0m for vista & win7 only XP
  20.  
  21. LCF-AT


http://vovan666.ifolder.ru/29673543


Ранг: 57.3 (постоянный)
Статус: Участник

Создано: 26 апреля 2012 17:47 · Поправил: -Sanchez- New!
Цитата · Личное сообщение · #23

Hello together,

so today I will release my new script about CRC fixing of TheMida WinLicense targets.So the script is very easy to use so you have almost nothing to do manually.Just run the script and thats all. I wrote it very user friendly of course.
********************************************
TheMida WinLicense CRC Fixer 1.0
********************************************

Why this script?

So maybe you will know it that TheMida / WinLicense used in the most cases a own CRC check feature to prevent manipulations of the protected files.So if you change something with the real file like adding a section etc then the TM WL protection will note this and you get a File Corrupted!...etc message.So in that case you have to find the new CRC offset & value to get your modded file working again.So if you can't unpack your TM WL target then you can still InLine the target.So if you want to InLine any target which used also a CRC check then you can use this script to get a new created CRC Fixed working file.So nothing will changed on the file just the CRC value.

TheMida WinLicense CRC Fixer 1.0
****************************************************
( 1.) Locate CRC Offset
( 2.) Protection Check of CISC and RISC
( 3.) Automatic CRC Fixed File Creator
( 4.) Supports Easy User Handling
( 5.) Supports Exe & Dll Files [dll at EP!]
( 6.) Supports CISC & RISC Protected Files
( 7.) Supports All TheMida & WinLicense Versions
****************************************************
I created a video tutorial where you can see how to use my script.I also added some UnpackMe's which you can also test.So then have fun and if something not works then post a reply on this topic.

PS: If you find any file where my script does not work etc then you can tell me!

greetz


TheMida WinLicense CRC Fixer 1.0 Tutorial

Password: EXELAB.RU

http://forum.tuts4you.com/topic/28909-themida-winlicense-crc-fixer-10/

{ Атач доступен только для участников форума } - TheMida WinLicense CRC Fixer 1.0.rar

Ранг: 31.0 (посетитель)
Статус: Участник

Создано: 14 мая 2012 12:42 New!
Цитата · Личное сообщение · #24

unpacker Themida --> UnThemida 3.0 <--


Статус: Пришелец

Создано: 14 мая 2012 13:57 New!
Цитата #25

schokk_m4ks1k пишет:
unpacker Themida

лол, автор просит сломать ему прогу для мобильника с Unsigned ключом армы. Деньжат захотелось?


Ранг: 331.3 (мудрец)
Статус: Участник
born to be evil

Создано: 14 мая 2012 18:13 New!
Цитата · Личное сообщение · #26

int
и unthemida 3 похожа на фейк

Ранг: 617.3 (!)
Статус: Участник

Создано: 14 мая 2012 18:50 New!
Цитата · Личное сообщение · #27

Да выкладывали уже эту unthemida много лет назад, насколько я помню ни у кого ни на чем не сработало.

| Сообщение посчитали полезным: DimitarSerg


Ранг: 49.7 (посетитель)
Статус: Участник

Создано: 16 мая 2012 22:24 New!
Цитата · Личное сообщение · #28

м-да... когда ж LCF-AT свой скрипт выложит (я имею в виду TM WL VM OEP VM Info Log)

Ранг: 440.8 (мудрец)
Статус: Участник

Создано: 16 мая 2012 22:40 New!
Цитата · Личное сообщение · #29

а чем не устраивает анализатор в UnVirtualizer ?

Ранг: 49.7 (посетитель)
Статус: Участник

Создано: 17 мая 2012 10:15 New!
Цитата · Личное сообщение · #30

не, ну просто он видео выложил, показал и рассказал - а не повторишь.
потому как все на руках есть, кроме скрипта.

...я-то и с тем и с этим буду пробовать, а пока вот, мануалы разные курю.
моральной подготовкой занимаюсь, одним словом
. 1 . 2 . 3 . 4 . 5 . >>
 eXeL@B —› Протекторы —› Распаковка Themida последних версий: туторы, скрипты, плагины.

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS