Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   Реверсинг (https://forum.antichat.xyz/forumdisplay.php?f=94)
-   -   Themida newest version-UNPACK (https://forum.antichat.xyz/showthread.php?t=130038)

cryptX 16.07.2009 11:41
Themida newest version-UNPACK
 
Здравствуйте ребята,есть одна прога мне нужно редактировать ресурсы,но она пакована новой версией Themida,пробовал AORE Themida unpack 2.0 не помогло,может кто нибудз посоветует что делать. Вот линк:

http://rapidshare.com/files/256362689/Themida-Packed_File.zip.html

Заранее благодарен,
с уважением cryptX.

BlackSun 16.07.2009 12:05
Мало крякеров могут отодрать Themidу, а те, кто могут, явно не будут делать это за бесплатно.

neprovad 20.07.2009 13:53
cryptX, распаковал, код на oep восстановил, vm-ку и прочее уже сам прикручивай к дампу или жди помощи со стороны, мне больше лениво что-то делать за просто так :)
http://ifolder.ru/13179584

cryptX 20.07.2009 19:41
Neprovad RESPECT!!!!!!!!!!!!!!!!!

cryptX 20.07.2009 20:02
Neprovad большое спасибо!!!!!
Ты мне очень помог!!!!!

cryptX 20.07.2009 22:03
2 Neprovad или кто нибудь...
Еще один раз БОЛЬШОЕ СПАСИБО Neprovad.
Когда нажимаю на кнопку Finish прога зависает...
Пожайлуста если можешь исправь Import table,чтоб прога работала нормально.
Как вознограждение я даю 3 аски тому кто исправит Import table.

5039419
9591034
1146970


Заранее очень благодарен!!!!

cryptX 20.07.2009 22:54
2 Neprovad and 2 everybody
Пробовал с ImpRec восстановить,не получается пишет - IAT is still invalid you have to fix manually all unresolved pointers.

как можно это сделать ?

neprovad 21.07.2009 06:06
импорт нормальный был, я же говорю там не хватает виртуальной машины, ее надо "прикрепить" к файлу

cryptX 21.07.2009 08:55
2 Neprovad
Извини что трачу твое время, пожалуйста объясни как "прикрепить" ?
и почему impRec пишет - IAT is still invalid you have to fix manually all unresolved pointers,если импорт нормальный ?

Спасибо тебе!

neprovad 21.07.2009 10:08
1) в пакованной версии программы надо часть кода где находится vm скопировать в дамп.
к примеру первый переход в сторону vm находится
по адресу 0x0439347
Код:
.text:00439347                jmp    loc_B3CE3D ; прыжок в секцию themida
эту секцию надо скопировать в дамп
2) не совсем понял смысла манипуляций с импортом, зачем мучить imprec если импорт цел? вообще почему появилась мысль о том что он покорежен?

cryptX 21.07.2009 10:11
2 Neprovad
просто я думал что от этого и прога зависает.А как найти эти vm переходы ?

cryptX 21.07.2009 10:14
2 Neprovad
а как эти переходы находить ???

neprovad 21.07.2009 10:21
делал так: ставил memory breakpoint на секцию с vm и когда сработало, посмотрел откуда был переход.
upd:
Код:
.text:00408959                call    dword ptr [eax+88h] ; check
.text:0040895F                test    al, al
.text:00408961                jz      loc_408C2C
.text:00408967                mov    ecx, [ebp+0ED60h]
.text:0040896D                mov    [esp+0ECh+var_64], ebx
.text:00408974                lea    edx, [esp+0ECh+var_64]
.text:0040897B                mov    eax, [ecx]
.text:0040897D                push    edx
.text:0040897E                call    dword ptr [eax+88h] ; save to registry
.text:00408984                test    al, al
.text:00408986                jz      loc_408BDD
предлагаю также обратить внимание на данный участок кода, может оказаться весьма важным при взломе

cryptX 21.07.2009 10:32
Neprovad
Ставил бряки на секцию с Themida
срабативает на 00E9B003 50 PUSH EAX

cryptX 21.07.2009 10:35
и вообще по адресу 0x0439347 у меня F4

cryptX 21.07.2009 10:46
Neprovad
нашел.
CALL FAR FFB2:5DE94DD2
DEC DWORD PTR DS:[EDI+5C680037]

А откуда копировать ???

neprovad 21.07.2009 10:58
Цитата:
Сообщение от cryptX
и вообще по адресу 0x0439347 у меня F4
это потому что запустил ПАКОВАННУЮ версию программы
когда распаковка у themida заканчивается то по этому адресу будет переход как я и говорил
p.s.
не пиши по несколько сообщений подряд, модераторы это не любят :) если есть что дополнить исправь предыдущее сообщение

cryptX 21.07.2009 11:09
Цитата:
Сообщение от neprovad
делал так: ставил memory breakpoint на секцию с vm и когда сработало, посмотрел откуда был переход.
upd:
Код:
.text:00408959                call    dword ptr [eax+88h] ; check
.text:0040895F                test    al, al
.text:00408961                jz      loc_408C2C
.text:00408967                mov    ecx, [ebp+0ED60h]
.text:0040896D                mov    [esp+0ECh+var_64], ebx
.text:00408974                lea    edx, [esp+0ECh+var_64]
.text:0040897B                mov    eax, [ecx]
.text:0040897D                push    edx
.text:0040897E                call    dword ptr [eax+88h] ; save to registry
.text:00408984                test    al, al
.text:00408986                jz      loc_408BDD
предлагаю также обратить внимание на данный участок кода, может оказаться весьма важным при взломе
У меня ключик уже есть,только не могу разобратся с vm. :confused:

Neprovad а именно сколько байтов копировать ???

neprovad 21.07.2009 11:53
потрассируешь и поймешь чего не хватает, одна часть вмки уже была мной прикреплена

cryptX 21.07.2009 14:12
Neprovad
что то у меня не получается...
Сколько байтов с 0x0439347 копировать ???
И как узнать где заканчивается секция ?

Sunzer 23.07.2009 00:31
Цитата:
00B3CE3D 68 5C9AD24D PUSH 4DD29A5C
00B380A4 6A 00 PUSH 0
00B380A6 9C PUSHFD
00B380A7 60 PUSHAD
00B380A8 90 NOP
00B380A9 90 NOP
00B380AA E8 00000000 CALL 00B380AF ; unpack01.00B380AF
00B380AF 5D POP EBP
00B380B0 81ED 9B103010 SUB EBP,1030109B
00B380B6 90 NOP
00B380B7 90 NOP
00B380B8 B8 0A5F3010 MOV EAX,10305F0A
00B380BD 03C5 ADD EAX,EBP
00B380BF 50 PUSH EAX
00B380C0 8BB5 C91E0110 MOV ESI,DWORD PTR SS:[EBP+10011EC9]
00B380C6 BB 01000000 MOV EBX,1
00B380CB 8D86 E4040000 LEA EAX,DWORD PTR DS:[ESI+4E4]
00B380D1 F0:8618 LOCK XCHG BYTE PTR DS:[EAX],BL ; LOCK prefix
00B380D4 0ADB OR BL,BL
00B380D6 75 02 JNZ SHORT 00B380DA ; unpack01.00B380DA
00B380D8 EB 10 JMP SHORT 00B380EA ; unpack01.00B380EA
00B380DA 60 PUSHAD
00B380DB 6A 00 PUSH 0
00B380DD FF95 E1200110 CALL DWORD PTR SS:[EBP+100120E1]
00B380E3 61 POPAD
00B380E4 ^ EB EB JMP SHORT 00B380D1 ; unpack01.00B380D1
00B380E6 ^ EB D0 JMP SHORT 00B380B8 ; unpack01.00B380B8
00B380E8 EB 07 JMP SHORT 00B380F1 ; unpack01.00B380F1
00B380EA 58 POP EAX ; unpack01.00B3CF1E
00B380EB 8986 5C050000 MOV DWORD PTR DS:[ESI+55C],EAX
00B380F1 B8 0E000000 MOV EAX,0E
00B380F6 8986 98040000 MOV DWORD PTR DS:[ESI+498],EAX
00B380FC C74424 24 A8460>MOV DWORD PTR SS:[ESP+24],100146A8
00B38104 016C24 24 ADD DWORD PTR SS:[ESP+24],EBP
00B38108 61 POPAD
00B38109 9D POPFD
00B3810A C3 RETN
В карте памяти смотри где конец секции.

ps Какая версия темиды?

cryptX 23.07.2009 13:00
2 Sunzer
Это самая последняя версия.Конкретно не знаю.

neprovad 23.07.2009 16:46
это не самая последняя, так как в новой версии исследуемой программы добавилось кода на точке входа, из чего можно сделать вывод что tmd обновилась


Время: 08:17