eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 2 сентября!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: maddmaks (+4 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Протекторы —› Распаковка Themida последних версий: туторы, скрипты, плагины.
<< . 1 . 2 . 3 . 4 . 5 . >>
Посл.ответ Сообщение

Ранг: 40.4 (посетитель)
Статус: Участник

Создано: 3 октября 2010 09:17 New!
Цитата · Личное сообщение · #1

Доброго время суток, в данной статье предлагаю размещать различные мануалы по снятию темиды, а также полезные программы и скрипты. Я знаю, что такая тема уже задавалась на кряклябе, но потом проект как-то заглох, да и темида уже давно обновилась. Ну чтож, в добрый путь, друзья!

Ранг: 80.8 (постоянный)
Статус: Участник

Создано: 22 января 2014 15:25 New!
Цитата · Личное сообщение · #2

А как Девиртуализироват новую Фимку?

Ранг: 290.1 (наставник)
Статус: Модератор
CrackLab

Создано: 22 января 2014 15:59 New!
Цитата · Личное сообщение · #3

разобрать вм и написать девиртуализатор

| Сообщение посчитали полезным: vnekrilov


Ранг: 329.1 (мудрец)
Статус: Участник

Создано: 23 января 2014 09:50 New!
Цитата · Личное сообщение · #4

SReg пишет:
разобрать вм и написать девиртуализатор


В последней версии Themida разработчики внесли некоторые изменения в вызов VM, Handler's и адреса р-кода. В вызове VM теперь принимают участие две инструкции PUSH, а затем идет JMP на VM. К Handler's и адресам р-кода теперь прибавляется ImageBase программы. Поэтому прекрасный плагин UnVirtualizer здесь не работает, поскольку он заточен под другие параметры VM. Автор уже год как пропал на тутсях. Может быть проснется, а может быть и нет.

Ранг: 26.3 (посетитель)
Статус: Участник

Создано: 22 февраля 2014 20:59 New!
Цитата · Личное сообщение · #5

vnekrilov пишет:
При поиске VM OEP STOP появляется ошибка - breakpoint in [address] is delete.

В этом случае LCF-AT рекомендует закомментировать строку:
Code:
  1. //  free HEAP_PATCHSEC

IMHO, лучше так и сделать. Всё обсуждение и ответы LCF-AT ведутся со ссылками на номера строк её скрипта, так что лучше их не нарушать.

В некоторых случаях сценарий останавливается на строке 1968. Вот её ответ:
" Line 1967 and 1968 and 1969 = pause.So it seems that I did forgot to remove this lines. [ ] So if you stop there then just resume the script.So at this place the script try to find the IAT top.So if this could fail anyhow then you can also enter the IAT start / end manually some lines below at line 1998 mov IATSTART, eax and 1999 mov IATEND, ecx.Set script eip at line 1998 then enter IAT start VA in eax and IAT end +4 = 00000000 DWORD after last API in ecx and resume the script."

В топике немало сообщений о том, что полученный с помощью скрипта дамп не запускается. Все её ответы сводятся к тому, что скрипт здесь не причём и предлагает поработать ручками.

Просит давать замечания и работает над upd скрипта.

Ранг: 118.3 (ветеран)
Статус: Участник

Создано: 13 мая 2014 18:08 · Поправил: Jaa New!
Цитата · Личное сообщение · #6

ThemidaAutoUnvirtualizer
Code:
  1. Instruction
  2. -Open ollydbg with target (.exe, .dll) loaded
  3. -If you're using clean ollydbg you can leave the User Settings by default, if not you need to change $className to the Class of the Ollydbg window (you can know the class using for example AutoIt v3 Window Info)
  4. - Note: If you are using KernelMode from StrongOD or something similar it won't be able to detect OllyDbg window.
  5. -Run the .exe (script compiled), or download AutoIt v3 and run the script (.au3).
  6. -Open ollydbg window (already opened) and it will start.
  7. -Don't move mouse nor press keyboard during script execution.


--> Download <--
--> Зеркало <--

Ранг: 49.7 (посетитель)
Статус: Участник

Создано: 13 мая 2014 20:50 New!
Цитата · Личное сообщение · #7

"I'm currently analyzing a Themida packed target using
about 135 VMs"
это ж где ж такое он встретил??

Ранг: 290.1 (наставник)
Статус: Модератор
CrackLab

Создано: 15 мая 2014 06:28 New!
Цитата · Личное сообщение · #8

sivorog пишет:
это ж где ж такое он встретил??

вот в этой хрени http://www.highdots.com/products/source-code-library/ овер 600(!) VMs
p.s. и пока не снимешь всю вм и не отрубишь несколько таймчеков, сабж вообще неворкает. вероятно поэтому проект и захлох, ибо имхо такое неработающее гавно никто не покупает.

Ранг: 290.1 (наставник)
Статус: Модератор
CrackLab

Создано: 22 мая 2014 04:26 New!
Цитата · Личное сообщение · #9

--> Themida - Winlicense Ultra Unpacker <--
Update: 1.1

Code:
  1. TheMida - WinLicense Ultra Unpacker 1.1
  2. ***************************************************
  3. Fixed Breakpoint Error Info
  4. Fixed FW API Name Check In IAT
  5. Fixed Custom Dll UnpackBase Problem
  6. Added Basic Olly & Plugin Setup-Checks
  7. Added Dll Dynamic Check + Current Base Dumping
  8. Added Custom PE_ADS Alloc Size Option
  9. Added Custom HWID MessageBox Info check
  10. Added Nopper (Prevent Crasher) Disable Ask Option (special case)
  11. Added Another EFL Scan & Patch (For Custom VM)
  12. Added Another Macro Scan & Patch & Info
  13. Added Personal Data Infos (User | Language | OS Bit | Date | Time | Duration)
  14. Added Overlay Scan | Dumper & Adder (Overlay will added to DP file by script)
  15. Added Auto XBunlder Files Dumper Option (Default is enabled but you can also disable it below)
  16. Added Auto XBunlder Loader Option (Does load all XBunlder dll files into process / 20 Dll Load Files Limit!)
  17. Added XBunlder Direct Memory Imports to Loaded XBundler Dll Imports Fixer
  18. Added Custom HWID Label If WL dosen't use normal system messagebox API.See below in Hint description


Скрипт и туторы: http://rghost.ru/55537684

| Сообщение посчитали полезным: vnekrilov


Ранг: 19.9 (новичок)
Статус: Участник

Создано: 30 мая 2014 17:31 New!
Цитата · Личное сообщение · #10

TheMida - WinLicense Ultra Unpacker 1.2
Code:
  1. ***************************************************
  2. Fixed Wrong Label Name
  3. Fixed OEP Zero Bytes Bug
  4. Added MJM Detail Moddern Scan
  5. Added DLL & XBunlder DLL Import Check at first MJ Stop
  6. Added Another WL Entry Scan (TF & CISC Mixed)
  7. Added PE Section Splitting Optimizer Scan & Data Log (Reducing Codesection & Split)
  8. Added Better IAT End Checking


http://rghost.net/56013219

| Сообщение посчитали полезным: CyberGod, vnekrilov, mak



Ранг: 227.0 (наставник)
Статус: Участник
radical

Создано: 3 июля 2014 22:03 New!
Цитата · Личное сообщение · #11

TheMida - WinLicense Ultra Unpacker 1.3
Code:
  1. Themida - Winlicense Ultra Unpacker 1.3
  2. ***************************************************
  3. Fixed VMWare Check Problem
  4. Added EFL User Option
  5. Added Better Check For HWID
  6. Added CISC (Old / New ) Basic VM OEP Turbo Method + Pushes & Handler Log (Push / Push / Jump to Handler!)
  7. Added IAT Checkbox to User (Verify IAT Start / Size!)
  8. Added Second VM Entry Scan & Log --(2)-- After Other Entry Fixing (Macros etc)
  9. Added SetEvent Finder Script (CISC & RISC)
  10. Added SetEvent Patcher       (CISC & RISC)


https://www.sendspace.com/file/xjpjv1

| Сообщение посчитали полезным: CyberGod, Gideon Vi, ZLOFENIX, Mishar_Hacker, v00doo


Ранг: 24.3 (новичок)
Статус: Участник

Создано: 13 июля 2014 17:16 New!
Цитата · Личное сообщение · #12

Записал видео по обходу проверки CRC на последних версиях Themida.

https://www.sendspace.com/file/qnunut

| Сообщение посчитали полезным: BlackArting, igorca


Ранг: 118.3 (ветеран)
Статус: Участник

Создано: 14 июля 2014 09:37 New!
Цитата · Личное сообщение · #13

Themida - Winlicense Ultra Unpacker 1.4

Code:
  1. Themida - Winlicense Ultra Unpacker 1.4
  2. ***************************************************
  3. Added CRC Fixer (exe & dll & NET support)
  4.  
  5. INFO:   If you want to CRC fix any dll (dll flag enabled in PE) then be sure
  6.         that your dll was also loaded the first time with value 1 in [esp+08]!
  7.         If you're not sure about it then enable the option AdvEnumModule in the
  8.         StrongOD plugin and then load your dll file.


https://www.sendspace.com/file/9pu8z8

Ранг: 1.0 (гость)
Статус: Участник

Создано: 27 сентября 2014 23:11 New!
Цитата · Личное сообщение · #14

Подскажите пожалуйста. Запустил скрипт Themida - Winlicense Ultra Unpacker 1.4, скрипт успешно отработал и получил библиотеку 30 мб исходная длл 28, что дальше надо сделать чтобы программа работала? Клиент Lineage Interlude, а библиотека engine.dll

Ранг: 329.1 (мудрец)
Статус: Участник

Создано: 28 сентября 2014 12:38 New!
Цитата · Личное сообщение · #15

redist пишет:
что дальше надо сделать чтобы программа работала?


Далее необходимо отрезать секции, добавленные протектором. Затем загрузить DLL по другому адресу (используя модифицированную loaddll.exe), и снова распаковать DLL, а также отрезать лишие секции созданные протектором. Далее нужно применить утилиту ReloX 1.0, для восстановления секции релоков. И все должно нормально заработать. Распаковка DLL, в отличие от EXE имеет свои нюансы.

| Сообщение посчитали полезным: redist


Ранг: 1.0 (гость)
Статус: Участник

Создано: 28 сентября 2014 15:34 New!
Цитата · Личное сообщение · #16

vnekrilov пишет:
Далее необходимо отрезать секции, добавленные протектором

А как узнать нужные секции?

Ранг: 95.7 (постоянный)
Статус: Участник

Создано: 28 сентября 2014 15:39 New!
Цитата · Личное сообщение · #17

redist пишет:
А как узнать нужные секции?

Найти отличия между защищенной и незащищенной длл, которые были скомпилированы в одной среде.

Ранг: 4.9 (гость)
Статус: Участник

Создано: 28 сентября 2014 15:49 New!
Цитата · Личное сообщение · #18

Вот тоже по релокам неплохой способ, для тех кто любит по жестче, чтоб не потерялось..)
https://exelab.ru/F/index.php?action=vthread&forum=13&topic=16798&page=0#18

Ранг: 1.0 (гость)
Статус: Участник

Создано: 28 сентября 2014 15:59 New!
Цитата · Личное сообщение · #19

Еще вопрос в скрипте 1.4 автоматически восстанавливается импорты? Не нужно использовать Import recovery? после выполнения?

Ранг: 2.3 (гость)
Статус: Участник

Создано: 22 февраля 2015 22:59 New!
Цитата · Личное сообщение · #20

Чем еще кроме Oreans Unvirtualizer можно восстановить JMP/CALL ? Может есть какой-нибудь другой "Unvirtualizer" ?

Ранг: 329.1 (мудрец)
Статус: Участник

Создано: 23 февраля 2015 10:54 New!
Цитата · Личное сообщение · #21

ProstoClicker пишет:
Чем еще кроме Oreans Unvirtualizer можно восстановить JMP/CALL ? Может есть какой-нибудь другой "Unvirtualizer" ?


Если этот девиртуализатор не берет, то только ручками...

Ранг: 2.3 (гость)
Статус: Участник

Создано: 23 февраля 2015 22:14 New!
Цитата · Личное сообщение · #22

Каким образом?

Добавлено спустя 1 минуту
Oreans Unvirtializer с новой темидой не хотит работать, пишет что нет может найти какие-то сигнатуры VM

Добавлено спустя 1 час 5 минут
Работает, но только на 30-40% из всех функций. Остальные немного отличаются но почти точно такие же, не знаю почему с ними не работает

Ранг: 0.9 (гость)
Статус: Участник

Создано: 24 февраля 2015 16:14 New!
Цитата · Личное сообщение · #23

VM - возможно это virtual machine.

Ранг: 95.7 (постоянный)
Статус: Участник

Создано: 24 февраля 2015 16:41 New!
Цитата · Личное сообщение · #24

Staps пишет:
VM - возможно это virtual machine.

Cпасибо, кэп.
ProstoClicker пишет:
Работает, но только на 30-40% из всех функций. Остальные немного отличаются но почти точно такие же, не знаю почему с ними не работает

И хорошо, что не работает.Может так хоть отучатся многие от автоматических решений, да и было бы странным, если бы инструкции вм не видоизменялись в зависимости от старшинства версий протектора.

Ранг: 0.5 (гость)
Статус: Участник

Создано: 26 февраля 2015 20:27 · Поправил: aphexman New!
Цитата · Личное сообщение · #25

Всем привет, возможно оффтоп, но по теме, помогите распаковать exe фаил он запакован темидой ориентировачно год 2010, подробности в ЛС или на почту aphex-twin@mail.ru
Естественно не бесплатно!
Буду благодарен!
Если попадется человек который знает как по коду дописывать exe или изменять параметры, возможно сотрудничество!

Ранг: 2.3 (гость)
Статус: Участник

Создано: 27 февраля 2015 23:20 New!
Цитата · Личное сообщение · #26

Каким образом можно вручную восстановить виртуализированный код? (JMP/CALL)

Есть какие-нибудь видеоуроки или нужно "жать все наугад"?

Ранг: 118.3 (ветеран)
Статус: Участник

Создано: 27 февраля 2015 23:52 New!
Цитата · Личное сообщение · #27

ProstoClicker
на тутсях ищи, там найдешь расжованные туториалы


Ранг: 227.0 (наставник)
Статус: Участник
radical

Создано: 28 февраля 2015 00:47 New!
Цитата · Личное сообщение · #28

ProstoClicker пишет:
"жать все наугад"?

Збсь подход

Если ВМ не cisc, то можешь ролики на тутсях не искать, плаг его не девиртуализирует.

Ранг: 14.3 (новичок)
Статус: Участник

Создано: 9 апреля 2015 14:27 New!
Цитата · Личное сообщение · #29

Коллеги вопрос

Значит ковыряюсь с этой заразой
сскрипт с тутси выдал:
Themida - Winlicense Ultra Unpacker 1.4 -+-

Your target >> CrackMe << seems to be a NET FRAME WORK app! NET Directory Found at VA: Not | Found ****PE HEADER + SIZE: 1211000 CODESECTION: 1212000 ************* Run script till (bypass HWID if needed) OEP and then run the app with F9! Unpacking of NET targets is diffrent! Dump running process with WinHex and then fix the whole PE and NET struct!

Не точно понимаю что это означает? Скрипт не работает с НЕТ сборками?
Предлагает дампировать, кста там антидамп и антидебаг, но дампировать отдельно или скрипт найдет ОЕП, а потом дампировать?

Какой тулл посоветуете? Пробовал мегадампом дамп сделал (не рабочий), но чем фиксить сборку? Сорри спешу, нужно быстро.

Ранг: 95.7 (постоянный)
Статус: Участник

Создано: 9 апреля 2015 14:30 · Поправил: unknownproject New!
Цитата · Личное сообщение · #30

artkar пишет:
но чем фиксить сборку?

Дамп можно снимать чем угодно, но именно с запущенного процесса, который ничем не приостановлен.Фиксить с помощью CFF Explorer, а вообще вместе со скриптом идет бинарь для фикса шарповых дампов, накрытых фимой.

| Сообщение посчитали полезным: artkar


Ранг: 45.7 (посетитель)
Статус: Участник

Создано: 9 апреля 2015 16:06 New!
Цитата · Личное сообщение · #31

artkar
Дампите megadumperom,если дамп не снимается(пишет что успешно,но в папке dump файлы не появляются),приостанавливаете процесс-правой кнопкой-pause,и снова дампите,потом этим проходитесь http://rghost.ru/4704286

| Сообщение посчитали полезным: artkar, Autokent

<< . 1 . 2 . 3 . 4 . 5 . >>
 eXeL@B —› Протекторы —› Распаковка Themida последних версий: туторы, скрипты, плагины.

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS