eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 2 августа!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: UniSoft
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Протекторы —› Распаковка Themida последних версий: туторы, скрипты, плагины.
<< . 1 . 2 . 3 . 4 . 5 . >>
Посл.ответ Сообщение

Ранг: 40.4 (посетитель)
Статус: Участник

Создано: 3 октября 2010 09:17 New!
Цитата · Личное сообщение · #1

Доброго время суток, в данной статье предлагаю размещать различные мануалы по снятию темиды, а также полезные программы и скрипты. Я знаю, что такая тема уже задавалась на кряклябе, но потом проект как-то заглох, да и темида уже давно обновилась. Ну чтож, в добрый путь, друзья!

Ранг: 35.3 (посетитель)
Статус: Участник

Создано: 17 октября 2012 16:08 New!
Цитата · Личное сообщение · #2

vnekrilov
На моих файлах обычно справлялся, даже когда тупил в конкретных инструкциях то из Cisc_Vo_Syntax.txt удавалось воссоздать оригинал. А на RISC просто отказывается находить даже вход в вм. Вот и ищу хоть что-то на чем можно потренироваться.

Ранг: 49.7 (посетитель)
Статус: Участник

Создано: 17 октября 2012 19:59 New!
Цитата · Личное сообщение · #3

а у меня другой вопрос: вот есть распакованный работающий дамп, в котором украдена ОЕП.
зато восстановлена ВМ ОЕП с помощью скрипта от quosego & LCF-AT.
Вопрос: как восстановить спертые байты с ОЕП?
есть ли (более-менее) общий подход?
примерчег: см. аттач

З.Ы. я обычно 1) создаю рабочий дамп
2) вычищаю мусор из ВМ-ской секции - забиваю 00 00 00h
3) пытаюсь восстановить ОЕП в секции кода

{ Атач доступен только для участников форума } - ok.exe_dump39.zip

Ранг: 329.1 (мудрец)
Статус: Участник

Создано: 17 октября 2012 21:27 New!
Цитата · Личное сообщение · #4

sivorog пишет:
Вопрос: как восстановить спертые байты с ОЕП?


Темида имеет очень интересные свойства. Мне попадались для распаковки программы с украденной OEP. Если внимательно посмотреть на вызовы VM, то можно найти вызов VM, в которой выполняется украденный код OEP. Восстановив это код с помощью унвиртуализатора, я получал полностью восстановленный код OEP, который копипастил на родное место. И все получается отлично.

Ранг: 35.3 (посетитель)
Статус: Участник

Создано: 18 октября 2012 02:15 New!
Цитата · Личное сообщение · #5

sivorog
выложи оригинал чтоль

Ранг: 189.9 (ветеран)
Статус: Участник

Создано: 18 октября 2012 02:26 New!
Цитата · Личное сообщение · #6

neprovad, RISC в ветке виртуалайзера на тутсах есть.

| Сообщение посчитали полезным: neprovad


Ранг: 49.7 (посетитель)
Статус: Участник

Создано: 18 октября 2012 20:17 · Поправил: sivorog New!
Цитата · Личное сообщение · #7

neprovad
а зачем оригинал? дамп ведь работает, там та же ВМ, те же заморочки...

З.Ы. хотя ладно
http://rghost.ru/41013427 (1,6 МБ)

vnekrilov
по идее же, выполнение этих спертых команд должно происходить непосредственно перед (или незадолго до) перехода из ВМ в секцию кода?

Ранг: 329.1 (мудрец)
Статус: Участник

Создано: 18 октября 2012 22:45 New!
Цитата · Личное сообщение · #8

sivorog пишет:
непосредственно перед (или незадолго до) перехода из ВМ в секцию кода


Точно.

Ранг: 49.7 (посетитель)
Статус: Участник

Создано: 19 октября 2012 21:05 New!
Цитата · Личное сообщение · #9

vnekrilov
а что именно надо понимать под вызовами ВМ?
как в этой каше разобраться

Ранг: 329.1 (мудрец)
Статус: Участник

Создано: 19 октября 2012 21:58 New!
Цитата · Личное сообщение · #10

sivorog пишет:
а что именно надо понимать под вызовами ВМ?


Вызовы VM обычно имеют вид:
PUSH Address
JMP Address VM

При краже байтов с OEP, я встречался с двумя случаями:
1. Весь украденный код с OEP выполняется с одного захода, и программа останавливается на первой инструкции, после выхода из VM.
2. Начало OEP выполняется в VM, затем выполняется какая-то подпрограмма из кода программы, а затем снова идет вход в VM. И таких входов в VM, при выполнении кода OEP, я встречал до 5 штук.

Во втором случае все получается легко. Достаточно записать условный прыжок в любом месте кода программы на VM, запустить плагин Oreans UnVirtualizer, и он восстанавливает полностью весь украденный код, хотя он и разбит на несколько отдельных частей. Такой код просто копируется, и вставляется с помощью Multiline Ultimate Assembler.

В первом случае немного сложнее - надо перебрать несколько входов в VM, и попытаться восстановить оригинальный код с помощью плагина Oreans UnVirtualizer. И вы обязательно найдете тот вход в VM, который и восстанавливает украденный код OEP. Причем, все остальные входы в VM выполняются после выполнения программой кода OEP, и только один или несколько входов в VM выполняют код OEP. Здесь просто нужно немного попрактиковаться на распаковке разных программ, для получения необходимого опыта, а дальше все будет проходить достаточно легко.

| Сообщение посчитали полезным: sivorog, SReg


Ранг: 49.7 (посетитель)
Статус: Участник

Создано: 25 октября 2012 18:17 · Поправил: sivorog New!
Цитата · Личное сообщение · #11

А вот такой вопросик: при попытке просто загрузить в Олли таргет "WinLicense 2.0.8.0 UnpackME_prot.exe"
(1,83 МБ, MD5 = D7E13014DCB2646CBC4189633B6A9345 )
вылезает эксепшн 3 штуки, и Ольга вылетает.
причём, я заменил в ollydbg.ini имена драйверов Стронга и Фантома - то же самое.
во вкладке Exceptions поставил игнор всех исключений.
как еще можно настроить плагины, не подскажете?
Win XP SP3

таргет: http://rghost.ru/41149571 -- 1,8 МБ

{ Атач доступен только для участников форума } - pic.zip

UPD 5.12.12
в другую папку положил таргет - всё пучком...


Ранг: 79.4 (постоянный)
Статус: Участник

Создано: 4 декабря 2012 21:14 New!
Цитата · Личное сообщение · #12

Unpacking Themida 2.0.3.0 with script

http://www.4shared.com/rar/Az_aqYh2/ugnk.html


Ранг: 240.4 (наставник)
Статус: Участник

Создано: 5 декабря 2012 12:21 New!
Цитата · Личное сообщение · #13

AKAB пишет:
http://www.4shared.com/rar/Az_aqYh2/ugnk.html

Тебя бы забанить на пару дней за такие обменники. Хоть бы других уважал

| Сообщение посчитали полезным: verdizela, Abraham


Ранг: 31.0 (посетитель)
Статус: Участник

Создано: 5 декабря 2012 12:39 · Поправил: schokk_m4ks1k New!
Цитата · Личное сообщение · #14

AKAB пишет:
Unpacking Themida 2.0.3.0 with script

http://www.4shared.com/rar/Az_aqYh2/ugnk.html

--> Первоисточник <--


Ранг: 1117.7 (!!!!)
Статус: Участник

Создано: 5 декабря 2012 14:20 New!
Цитата · Личное сообщение · #15

Хрень какая-то. Ну, ок, делаешь ты ролик. Нах фпс ставить в районе 10-15? Автор сам это смотреть пробовал? кг/ам.


Ранг: 534.2 (!)
Статус: Участник
оптимист

Создано: 5 декабря 2012 15:57 New!
Цитата · Личное сообщение · #16

schokk_m4ks1k пишет:
http://forum.tuts4you.com/topic/30580-unpacking-themida-2030-with-script/

Б-гы-гы-гы, в следующей серии будет фильм как открывать Olly и какие кнопки нажимать...

Ранг: 49.7 (посетитель)
Статус: Участник

Создано: 5 декабря 2012 21:46 New!
Цитата · Личное сообщение · #17

мдя... ниччего нового даже для меня.

я тут получше нарыл тутор, как восстанавливать спертые байты с ОЕП.
http://rghost.ru/42031646 (12 МБ)
только он такой ядерный, или ядреный... у мну глаза раскорячились, пока смотрел
зато, по идее, должен работать на всех версиях темиды, и возможно на других протах.
вдруг кому пригодится...

Ранг: 31.0 (посетитель)
Статус: Участник

Создано: 6 декабря 2012 00:30 · Поправил: schokk_m4ks1k New!
Цитата · Личное сообщение · #18

тут тоже что то по фимке есть (правда на китайском ) возможно кому то и поможет!
--> 1 часть <--
--> 2 часть <--
--> 3 часть <--
--> 4 часть <--

| Сообщение посчитали полезным: queyron


Ранг: 2.2 (гость)
Статус: Участник

Создано: 16 июня 2013 15:37 New!
Цитата · Личное сообщение · #19

Есть проблема с софтом, упакован Themida 1.8 и по секциям и при дампе видно что Themida. Объясните как мне ее снять с помощью выложенных тут утилит?

Ранг: 49.7 (посетитель)
Статус: Участник

Создано: 16 июня 2013 15:44 · Поправил: sivorog New!
Цитата · Личное сообщение · #20

queyron
а что именно тебе непонятно?
1) берешь ольгу,
2) настраиваешь её, (защита от антиотладки, другие плагины),
3) пробуешь 3-4 анпакмиса распаковать,
4) потом пробуешь распаковать свою прогу.
выложи файл

и потом, ты уверен, что именно версия 1.8 ? Темида любит обманывать анализаторы типа PEiD.

З.Ы. я начинал не с китайскоязычных мануалов, а с туторов quosego & LCF-AT, на tuts4you ищи

| Сообщение посчитали полезным: queyron


Ранг: 2.2 (гость)
Статус: Участник

Создано: 17 июня 2013 00:36 · Поправил: queyron New!
Цитата · Личное сообщение · #21

sivorog пишет:
и потом, ты уверен, что именно версия 1.8 ? Темида любит обманывать анализаторы типа PEiD.

Не уверен, но наверное там мб 2.0
Можно подробнее какие плагины для оли и можно ли дампнуть программу?
http://rghost.ru/46805914

Ранг: 287.7 (наставник)
Статус: Модератор
CrackLab

Создано: 17 июня 2013 01:12 New!
Цитата · Личное сообщение · #22

queyron пишет:
Можно подробнее какие плагины для оли и можно ли дампнуть программу?

Тебе уже ответили на этот вопрос. Нужно пойти на форум tuts4you и посмотреть туторы. Какие плагины нужны, как настроить их, и как "дампануть" программу - там все есть!


Ранг: 129.0 (ветеран)
Статус: Участник

Создано: 17 июня 2013 01:32 New!
Цитата · Личное сообщение · #23

queyron пишет:
Научи английскому дядя

С таким подходом ты хочеш чемуто научится?

Ранг: 118.0 (ветеран)
Статус: Участник

Создано: 17 июня 2013 02:00 New!
Цитата · Личное сообщение · #24

queyron пишет:
http://rghost.ru/46805914

--> Unpacked+Cracked <--

| Сообщение посчитали полезным: queyron


Ранг: 189.9 (ветеран)
Статус: Участник

Создано: 20 июля 2013 07:03 · Поправил: NikolayD New!
Цитата · Личное сообщение · #25

Почему тему не прикрепили до сих пор?

so today I wanna release a new tutorial about the popular theme TheMida - WinLicense.So I see there seems to be still some open questions mostly if my older unpack script does not work anymore and the unpacked files too etc.So this time I decided to create a little video series how to unpack and deal with a newer protected TheMida target manually where my older public script does fail.A friend of me did protect UnpackMe's for this and in the tutorial you will see all steps from A-Z to get this UnpackMe successfully manually unpacked but this is only one exsample how you can do it of course.So the tutorial [videos + text tutorial] is very long and has a runtime of more than three hours and of course it will be necessary that you also read the text parts I made at the same time if possible but if you are already a advanced user then you will have it easier than a newbie.So I hope that you have enough patience to work through by the whole tutorial.

So the main attention I set on all things which happen after normal unpacking so the unpack process is the simplest part and all what comes after is the most interesting part and how to deal with all problems that happen.It's more or less like a live unpack session.

I also wrote some small basic little helper scripts which you can also use for other targets to get valuable informations if you need.


- Unpacking
- Exception analysing
- VM analysing with UV plugin
- AntiDump's find & fixing & redirecting "after fix method"
- Testing on other OS


My Special Thanks goes to Lostin who made this UnpackMe and others + OS's tests.Also I wanna send a thank you to Deathway again for creating this very handy and helpfully UV plugin.

So that's all from me now what I have to say about the tutorial so far.Just watch and read and then try it by yourself.Oh and by the way I record 10 videos and not only 1. If something does not work or you have any problems with this tutorial etc then ask on this topic only if possible and don't send me tons of PM's etc ok.Thank you in advance.

PS: Oh and before someone has again something to complain because of my tutorial style [goes to quickly or is bad or whatever] then I just wanna say,maybe you're right so normaly I don't like to create & write tutorials etc so this is really not my thing so keep this in your mind.


--> TheMida WinLicense Manually Unpack Tutorial Exsample by LCF-AT (51.42MB) <--

| Сообщение посчитали полезным: cadet, sivorog, neoBlinXaker, msvc


Ранг: 329.1 (мудрец)
Статус: Участник

Создано: 24 ноября 2013 16:13 · Поправил: vnekrilov New!
Цитата · Личное сообщение · #26

Может быть кто-то сталкивался с такой VM в Themida:

Code:
  1. 00C46B27    68 A25A8400     PUSH 845AA2
  2. 00C46B2C    68 9D010000     PUSH 19D
  3. 00C46B31  ^ E9 3279ECFF     JMP 00B0E468
  4. 00C46B36    68 FF5B8400     PUSH 845BFF
  5. 00C46B3B    68 9D010000     PUSH 19D
  6. 00C46B40  ^ E9 2379ECFF     JMP 00B0E468
  7. 00C46B45    68 565D8400     PUSH 845D56
  8. 00C46B4A    68 9D010000     PUSH 19D
  9. 00C46B4F  ^ E9 1479ECFF     JMP 00B0E468
  10. 00C46B54    68 C15E8400     PUSH 845EC1
  11. 00C46B59    68 9D010000     PUSH 19D
  12. 00C46B5E  ^ E9 0579ECFF     JMP 00B0E468
  13. 00C46B63    68 D6628400     PUSH 8462D6
  14. 00C46B68    68 9D010000     PUSH 19D
  15. 00C46B6D  ^ E9 F678ECFF     JMP 00B0E468


Какая-то новая реализация - идет подряд два PUSH, и затем прыжок на VM. Если кто-то сталкивался, то как с нею работать?


Ранг: 1986.5 (!!!!)
Статус: Модератор
retired

Создано: 24 ноября 2013 16:43 New!
Цитата · Личное сообщение · #27

Если поглядеть на сайте, в последних версиях запилили несколько новых ВМ: Fish и Tiger, внутри они какие-то разноцветные ещё: Black, White, Red. Но сами вм не смотрел ещё. Возможно, это они.

| Сообщение посчитали полезным: vnekrilov


Ранг: 329.1 (мудрец)
Статус: Участник

Создано: 21 декабря 2013 10:42 New!
Цитата · Личное сообщение · #28

LCF-AT выложила свой новый скрипт для распаковки Themida, в том числе и последних версий с обновленной виртуальной машиной. К этому скрипту также приложено несколько туториалов. Общий объем материала - 83 МБ. Ссылка на скачивание - http://www.sendspace.com/file/j50v8i ссылка на тутси - http://forum.tuts4you.com/topic/34085-themida-winlicense-ultra-unpacker-10/?view=findpost&p=157240&hl=%2Bthemida+%2Bwinlicense+%2B1.x+%2B2.x+%2Bmulti+%2Bpro+%2Bedition

| Сообщение посчитали полезным: CyberGod, daFix, Hellspawn, shadow_user, SReg, nick8606, mak, AKAB, icerix, Vnv, sivorog, evgpav, Jaa, zNob


Ранг: 329.1 (мудрец)
Статус: Участник

Создано: 9 января 2014 11:49 New!
Цитата · Личное сообщение · #29

Я попробовал распаковать с помощью скрипта "Themida - Winlicense Ultra Unpacker 1.0" одну программу, упакованную последней версией Themida, и в нескольких местах я получил ошибки. Пришлось доработать скрипт следующим образом:

1. При снятом флажке на опции OllyDbg "Show default segments" (такая настройка мне нужна для вставки кода на его родное место с помощью плагина Multiline Ultimate Assembler), вкладка "Disasm", не работает эта часть скрипта:

Code:
  1. ////////////////////
  2. LONG_CMP:
  3. mov [SEC], COM
  4. scmpi [SEC], "cmp",     03
  5. jne FIND_COMPARES
  6. scmpi [SEC_2], "DWORD", 05
  7. jne FIND_COMPARES
  8. scmpi [SEC_7], ":[e",   03
  9. jne FIND_COMPARES
  10. scmpi [SEC_8], "e",     01
  11. jne FIND_COMPARES
  12. mov A, [SEC+12], 03
  13. mov B, [SEC+17], 03
  14. jmp COMPARARS
  15. ////////////////////


Я доработал скрипт следующим образом:

a) Было:

Code:
  1. mov SEC_2, SEC+04
  2. mov SEC_3, SEC+07
  3. mov SEC_4, SEC+08
  4. mov SEC_5, SEC+05
  5. mov SEC_6, SEC+09
  6. mov SEC_7, SEC+10
  7. mov SEC_8, SEC+17
  8. mov VM_CODE_IS, TMWLSEC
  9. cmp SIGN, "RISC"


Стало:

Code:
  1. mov SEC,   $RESULT
  2. mov SEC_2, SEC+04
  3. mov SEC_3, SEC+07
  4. mov SEC_4, SEC+08
  5. mov SEC_5, SEC+05
  6. mov SEC_6, SEC+09
  7. mov SEC_7, SEC+0E
  8. mov SEC_8, SEC+14
  9. mov VM_CODE_IS, TMWLSEC
  10. cmp SIGN, "RISC"


b) Было:

Code:
  1. LONG_CMP:
  2. mov [SEC], COM
  3. scmpi [SEC], "cmp",     03
  4. jne FIND_COMPARES
  5. scmpi [SEC_2], "DWORD", 05
  6. jne FIND_COMPARES
  7. scmpi [SEC_7], ":[e",   03
  8. jne FIND_COMPARES
  9. scmpi [SEC_8], "e",     01
  10. jne FIND_COMPARES
  11. mov A, [SEC+12], 03
  12. mov B, [SEC+17], 03
  13. jmp COMPARARS


Стало:

Code:
  1. mov [SEC], COM
  2. scmpi [SEC], "cmp",     03
  3. jne FIND_COMPARES
  4. scmpi [SEC_2], "DWORD", 05
  5. jne FIND_COMPARES
  6. scmpi [SEC_7], "[e",    02
  7. jne FIND_COMPARES
  8. scmpi [SEC_8], "e",     01
  9. jne FIND_COMPARES
  10. mov A, [SEC+0F], 03
  11. mov B, [SEC+14], 03
  12. jmp COMPARARS


2. При поиске VM OEP STOP появляется ошибка - breakpoint in [address] is delete. Причина появления этой ошибки находится здесь:

Code:
  1. RESTORE_HEAP_API:
  2. bphwc HEAP_CUSTOM_STOP
  3. bc HEAP_CUSTOM_STOP
  4. mov [RtlAllocateHeap], RtlAllocateHeap_BAK
  5. free HEAP_PATCHSEC
  6. jmp HEAP_LABEL_FIND
  7. ret


Я доработал эту часть скрипта так:

Code:
  1. RESTORE_HEAP_API:
  2. bphwc HEAP_CUSTOM_STOP
  3. bc HEAP_CUSTOM_STOP
  4. mov [RtlAllocateHeap], RtlAllocateHeap_BAK
  5. free HEAP_PATCHSEC
  6. mov HEAP_CUSTOM_STOP, 00
  7. jmp HEAP_LABEL_FIND
  8. ret


А здесь внес следующие исправления:

a) Было:

Code:
  1. CHECK_BPS:
  2. mov HEAP_LABEL_WHERE, "CHECK_BPS"
  3. bphws HEAP_CUSTOM_STOP
  4. bp HEAP_CUSTOM_STOP
  5. bprm CODESECTION, CODESECTION_SIZE
  6. esto
  7. gbpr
  8. cmp $RESULT, 20


b) Стало:

Code:
  1. CHECK_BPS:
  2. mov HEAP_LABEL_WHERE, "CHECK_BPS"
  3. cmp HEAP_CUSTOM_STOP, 00
  4. je CHECK_BPS_1
  5. bphws HEAP_CUSTOM_STOP
  6. bp HEAP_CUSTOM_STOP
  7.  
  8. CHECK_BPS_1:
  9. bprm CODESECTION, CODESECTION_SIZE
  10. esto
  11. gbpr
  12. cmp $RESULT, 20


Я полагаю, что эти исправления будут полезны для пользователей этого прекрасного скрипта.

| Сообщение посчитали полезным: CyberGod, Gideon Vi, DimitarSerg, Jaa



Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 9 января 2014 13:06 New!
Цитата · Личное сообщение · #30

на тутс4ю может запостить? чтобы автор внесла коррективы

Ранг: 329.1 (мудрец)
Статус: Участник

Создано: 9 января 2014 15:41 New!
Цитата · Личное сообщение · #31

Hellspawn пишет:
чтобы автор внесла коррективы


Я туда тоже отправил.
<< . 1 . 2 . 3 . 4 . 5 . >>
 eXeL@B —› Протекторы —› Распаковка Themida последних версий: туторы, скрипты, плагины.

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS