Program zdumpowany za pomocą olly debuger nie włącza

[Gość piotr9821]

No więc rozpakowałem plik spakowany themidą 2.xx z secure engine ale plik nie chce się włączać.

Klikam na niego 2 razy i nic ,zero reakcji

co mam zrobić prosze pomorze ktoś

[mirraseq]

Sam dump na themidę nie wystarczy. Trzeba odbudować importy, zdeobfuscować EP, w przypadku zwirtualizowanego kodu- dewirtualizować go.

Zwykły dump przyda się tu jedynie do analizy.

[Gość]

mirraseq podaj prosze programy i instrukcje, jeszcze wielki thx

[mirraseq]

Wybacz ale nie mam na tyle czasu by wszystko po kolei tłumaczyć. Poszukaj w google frazy "unpacking themida 2.x", na tuts4u na pewno znajdziesz jakiś flash z przykładowym programem tudzież skrypty. W przypadku ewentualnych problemów z niektórymi krokami pisz tutaj.

[Gość]

tylko jedno powiedz mi jak sprawdzic czy kod jest zwirtualizowany

[mirraseq]

Zwykle wygląda to tak, że po callu będzie jmp troszkę dalej do kodu z interpreterem (charakterystyczny switch).

[Prime_Bull]

Jak chcesz zrekonstruować importy polecam program "Import REConstructor" oraz jak go wykorzystać:

[MayWay]

Themida jest protektorem, który skutecznie stosuje techniki antydumpowe i nawet ImpRec w niczym tutaj nie pomoże

 

Ostatnio trafiłem na skrypt, który stara się rozpakować każdą wersję tego protektora: "Themida - Winlicense 1.x - 2.x Multi PRO Edition 1.2".

Aby go uruchomić potrzebna jest podrasowana wersja OllyDbg oraz odpowiednie pluginy.

Jak bedzie taka potrzeba to zamieszcze linki.

 

Czy ktoś z Was mogłby polecić nowe skuteczne toolsy dedykowane Themidzie, oprócz młotka itp., oczywiście

[mirraseq]

Nie do końca skutecznie, bo w końcu można dojść co czym się je :E

 

Importy są teraz wrappowane, to jest zestaw kilku(nastu) funkcji dekodujących wskaźnik danego API. Wszelkie 6 bajtowe calle (call dword [adres]) są zastąpione losowo: call+nop lub nop+call (możliwe, że także jmp+nop i nop+jmp). Instrukcje dekodujące są dodatkowo zobfuscowane.

 

Ja używam olly z modyfikacją SND, nie bawiłem się skryptami na nową themidę ale coś może się kiedyś zobaczy. Oreans tech się coraz bardziej stara :E

[Gość]

wielki dzieki

durzo mi pomogliscie

temat do zamkniecia