Анпак темиды

[Zubastic]

Собственно сабж. Наткнулся на что-то более-менее подробное тут:
http://zenhax.com/viewtopic.php?t=1051
Но к сожалению у меня не бинарь, а длл. Пытаюсь загрузить через лоадер, однако все виснет к черту. Собственно сабж: как снять темиду с длл? Мне нужна длл от 273 протокола, монстер не предлагать (я хз почему, но смарт отказывается работать с той длл и падает с ошибкой на смене айпи).

Добавлено через 3 минуты
Максимум, что получаю это вот такое окно:

[Zubastic]

Просто ****
Вообщем необходимо тыкнуть правой кнопкой в Script Window и нажать Resume.
После этого пойдет дальнейший экшен.

Добавлено через 11 минут
Вижу тут oreans.com, но хз как куда пихать Soft BP...

[Deazer]

Сомневаюсь, что это чем-то поможет, но:

Это скрипт, и они все, малость, не тот инструмент для L2. Твоя общая последовательность должна быть таковой:
Найти место, где копируются распакованные секции, проще всего это сделать через HWBP на запить посреди ориг. секций. В новой темиде тормознёт на чем-то вроде repnz mov byte ptr бла бля бля. В старых это пару десятков инструкций в цикле рядом. Далее для DLL с релоками будет обработка этих самых релоков. Далее BP на чтении PE+78 (IMAGE_EXPORT_DIR) у других длл. Темида тупо копирует к себе всю таблицу. Далее ловишь записи в IAT и DirectJmp/call (темида заменяет ff15/ff25 на e8/e9 + nop/мусор). Далее первая исполненная инструкция в ориг секции кода будет твой OEP (в Л2 я не встречал StealOEP). Дамп, сбор, прикрутка импорта. В L2 встречалось всего 2 момента, на которые стоит обратить внимание:
1) Сама темида проверяет свою целостность периодически. Это тупой CRC32 на своей памяти. Бывает чтение этой проверки из виртуалки. Хендлер ВМ создается в динамике.
2) Обработка импортов kernel32/user32/etc идет в ВМ. Если патчить сами хендлеры ВМ это создает кучу гемора, но места достаточно всегда.
Собранный образ уже хочь допиливай напильнтком, хочеш так оставляй.

[ANZO]

Уже давненько кидал видео с паком для распаковки. Скрипт там старый, заменишь на новый и укажешь в нем путь до AimpRec.dll как в оф гиде. Так же учти что это работает только на Windows XP и с патченным конфигом виртуалки (если она используется (прим для Virtual Box: http://www.kernelmode.info/forum/vie...hp?f=11&t=3478 , тут для x64 но суть понятна).

Даунлоад

[Deazer]

все эти паблик скрипты полная дичь. Работают от случая к случаю и при этом на выходе полный мусор который еще и антивиры палят.

[ANZO]

Цитата:

Сообщение от Deazer

все эти паблик скрипты полная дичь. Работают от случая к случаю и при этом на выходе полный мусор который еще и антивиры палят.

Ну а кто спорит то, что вручную чище. Этого скрипта раньше вполне хватало для получения хотя-бы запускающегося бинарника.

[AfterJob]

Цитата:

Сообщение от ANZO

Ну а кто спорит то, что вручную чище. Этого скрипта раньше вполне хватало для получения хотя-бы запускающегося бинарника.

Сейчас что уже на хватает? Я просто хотел понять как это работает, вчера прочитал - ничего почти не понял, кроме того темида проверяет себя через свою же CRC. Однако сегодня, пока пытался найти 607 патч под EU и в итоге ничего не нашев, пропатчил сам папку system, однако как я понимаю осталась проблема в L2.bin и Engine.dll

Вот собственно именно они и привели меня второй раз к этой теме. Буду рад если поможете их ковырнуть, или лучше всего научите. Рад буду понять такие вещи, а не тупо выпрашивать пачти.