Здравствуйте ребята,есть одна прога мне нужно редактировать ресурсы,но она пакована новой версией Themida,пробовал AORE Themida unpack 2.0 не помогло,может кто нибудз посоветует что делать. Вот линк:

http://rapidshare.com/files/256362689/Themida-Packed_File.zip.html

Заранее благодарен,
с уважением cryptX.

Мало крякеров могут отодрать Themidу, а те, кто могут, явно не будут делать это за бесплатно.

cryptX, распаковал, код на oep восстановил, vm-ку и прочее уже сам прикручивай к дампу или жди помощи со стороны, мне больше лениво что-то делать за просто так :)
http://ifolder.ru/13179584

Neprovad RESPECT!!!!!!!!!!!!!!!!!

Neprovad большое спасибо!!!!!
Ты мне очень помог!!!!!

2 Neprovad или кто нибудь...
Еще один раз БОЛЬШОЕ СПАСИБО Neprovad.
Когда нажимаю на кнопку Finish прога зависает...
Пожайлуста если можешь исправь Import table,чтоб прога работала нормально.
Как вознограждение я даю 3 аски тому кто исправит Import table.

5039419
9591034
1146970


Заранее очень благодарен!!!!

2 Neprovad and 2 everybody
Пробовал с ImpRec восстановить,не получается пишет - IAT is still invalid you have to fix manually all unresolved pointers.

как можно это сделать ?

импорт нормальный был, я же говорю там не хватает виртуальной машины, ее надо "прикрепить" к файлу

2 Neprovad
Извини что трачу твое время, пожалуйста объясни как "прикрепить" ?
и почему impRec пишет - IAT is still invalid you have to fix manually all unresolved pointers,если импорт нормальный ?

Спасибо тебе!

1) в пакованной версии программы надо часть кода где находится vm скопировать в дамп.
к примеру первый переход в сторону vm находится
по адресу 0x0439347

.text:00439347 jmp loc_B3CE3D ; прыжок в секцию themida

эту секцию надо скопировать в дамп
2) не совсем понял смысла манипуляций с импортом, зачем мучить imprec если импорт цел? вообще почему появилась мысль о том что он покорежен?

2 Neprovad
просто я думал что от этого и прога зависает.А как найти эти vm переходы ?

2 Neprovad
а как эти переходы находить ???

делал так: ставил memory breakpoint на секцию с vm и когда сработало, посмотрел откуда был переход.
upd:

.text:00408959 call dword ptr [eax+88h] ; check
.text:0040895F test al, al
.text:00408961 jz loc_408C2C
.text:00408967 mov ecx, [ebp+0ED60h]
.text:0040896D mov [esp+0ECh+var_64], ebx
.text:00408974 lea edx, [esp+0ECh+var_64]
.text:0040897B mov eax, [ecx]
.text:0040897D push edx
.text:0040897E call dword ptr [eax+88h] ; save to registry
.text:00408984 test al, al
.text:00408986 jz loc_408BDD

предлагаю также обратить внимание на данный участок кода, может оказаться весьма важным при взломе

Neprovad
Ставил бряки на секцию с Themida
срабативает на 00E9B003 50 PUSH EAX

и вообще по адресу 0x0439347 у меня F4

Neprovad
нашел.
CALL FAR FFB2:5DE94DD2
DEC DWORD PTR DS:[EDI+5C680037]

А откуда копировать ???

и вообще по адресу 0x0439347 у меня F4
это потому что запустил ПАКОВАННУЮ версию программы
когда распаковка у themida заканчивается то по этому адресу будет переход как я и говорил
p.s.
не пиши по несколько сообщений подряд, модераторы это не любят :) если есть что дополнить исправь предыдущее сообщение

делал так: ставил memory breakpoint на секцию с vm и когда сработало, посмотрел откуда был переход.
upd:

.text:00408959 call dword ptr [eax+88h] ; check
.text:0040895F test al, al
.text:00408961 jz loc_408C2C
.text:00408967 mov ecx, [ebp+0ED60h]
.text:0040896D mov [esp+0ECh+var_64], ebx
.text:00408974 lea edx, [esp+0ECh+var_64]
.text:0040897B mov eax, [ecx]
.text:0040897D push edx
.text:0040897E call dword ptr [eax+88h] ; save to registry
.text:00408984 test al, al
.text:00408986 jz loc_408BDD

предлагаю также обратить внимание на данный участок кода, может оказаться весьма важным при взломе

У меня ключик уже есть,только не могу разобратся с vm. :confused:

Neprovad а именно сколько байтов копировать ???

потрассируешь и поймешь чего не хватает, одна часть вмки уже была мной прикреплена

Neprovad
что то у меня не получается...
Сколько байтов с 0x0439347 копировать ???
И как узнать где заканчивается секция ?

00B3CE3D 68 5C9AD24D PUSH 4DD29A5C
00B380A4 6A 00 PUSH 0
00B380A6 9C PUSHFD
00B380A7 60 PUSHAD
00B380A8 90 NOP
00B380A9 90 NOP
00B380AA E8 00000000 CALL 00B380AF ; unpack01.00B380AF
00B380AF 5D POP EBP
00B380B0 81ED 9B103010 SUB EBP,1030109B
00B380B6 90 NOP
00B380B7 90 NOP
00B380B8 B8 0A5F3010 MOV EAX,10305F0A
00B380BD 03C5 ADD EAX,EBP
00B380BF 50 PUSH EAX
00B380C0 8BB5 C91E0110 MOV ESI,DWORD PTR SS:[EBP+10011EC9]
00B380C6 BB 01000000 MOV EBX,1
00B380CB 8D86 E4040000 LEA EAX,DWORD PTR DS:[ESI+4E4]
00B380D1 F0:8618 LOCK XCHG BYTE PTR DS:[EAX],BL ; LOCK prefix
00B380D4 0ADB OR BL,BL
00B380D6 75 02 JNZ SHORT 00B380DA ; unpack01.00B380DA
00B380D8 EB 10 JMP SHORT 00B380EA ; unpack01.00B380EA
00B380DA 60 PUSHAD
00B380DB 6A 00 PUSH 0
00B380DD FF95 E1200110 CALL DWORD PTR SS:[EBP+100120E1]
00B380E3 61 POPAD
00B380E4 ^ EB EB JMP SHORT 00B380D1 ; unpack01.00B380D1
00B380E6 ^ EB D0 JMP SHORT 00B380B8 ; unpack01.00B380B8
00B380E8 EB 07 JMP SHORT 00B380F1 ; unpack01.00B380F1
00B380EA 58 POP EAX ; unpack01.00B3CF1E
00B380EB 8986 5C050000 MOV DWORD PTR DS:[ESI+55C],EAX
00B380F1 B8 0E000000 MOV EAX,0E
00B380F6 8986 98040000 MOV DWORD PTR DS:[ESI+498],EAX
00B380FC C74424 24 A8460>MOV DWORD PTR SS:[ESP+24],100146A8
00B38104 016C24 24 ADD DWORD PTR SS:[ESP+24],EBP
00B38108 61 POPAD
00B38109 9D POPFD
00B3810A C3 RETN


В карте памяти смотри где конец секции.

ps Какая версия темиды?

2 Sunzer
Это самая последняя версия.Конкретно не знаю.

это не самая последняя, так как в новой версии исследуемой программы добавилось кода на точке входа, из чего можно сделать вывод что tmd обновилась