Рейтинг темы:
  • 0 Голос(ов) - 0 в среднем
  • 1
  • 2
  • 3
  • 4
  • 5
Анпак темиды
#1
Собственно сабж. Наткнулся на что-то более-менее подробное тут:
http://zenhax.com/viewtopic.php?t=1051
Но к сожалению у меня не бинарь, а длл. Пытаюсь загрузить через лоадер, однако все виснет к черту. Собственно сабж: как снять темиду с длл? Мне нужна длл от 273 протокола, монстер не предлагать (я хз почему, но смарт отказывается работать с той длл и падает с ошибкой на смене айпи).

Добавлено через 3 минуты
Максимум, что получаю это вот такое окно:
[Изображение: 9b7dbe49eeaaea715232f59957ea.png]
[Изображение: 4e38c909fcd08c5fcdf363b54a62.png]
Ответ
#2
Просто ****
Вообщем необходимо тыкнуть правой кнопкой в Script Window и нажать Resume.
После этого пойдет дальнейший экшен.

Добавлено через 11 минут
Вижу тут oreans.com, но хз как куда пихать Soft BP...
[Изображение: ea086875bc3eabde929ffe91e291.png]
[Изображение: 4e38c909fcd08c5fcdf363b54a62.png]
Ответ
#3
Сомневаюсь, что это чем-то поможет, но:

Это скрипт, и они все, малость, не тот инструмент для L2. Твоя общая последовательность должна быть таковой:
Найти место, где копируются распакованные секции, проще всего это сделать через HWBP на запить посреди ориг. секций. В новой темиде тормознёт на чем-то вроде repnz mov byte ptr бла бля бля. В старых это пару десятков инструкций в цикле рядом. Далее для DLL с релоками будет обработка этих самых релоков. Далее BP на чтении PE+78 (IMAGE_EXPORT_DIR) у других длл. Темида тупо копирует к себе всю таблицу. Далее ловишь записи в IAT и DirectJmp/call (темида заменяет ff15/ff25 на e8/e9 + nop/мусор). Далее первая исполненная инструкция в ориг секции кода будет твой OEP (в Л2 я не встречал StealOEP). Дамп, сбор, прикрутка импорта. В L2 встречалось всего 2 момента, на которые стоит обратить внимание:
1) Сама темида проверяет свою целостность периодически. Это тупой CRC32 на своей памяти. Бывает чтение этой проверки из виртуалки. Хендлер ВМ создается в динамике.
2) Обработка импортов kernel32/user32/etc идет в ВМ. Если патчить сами хендлеры ВМ это создает кучу гемора, но места достаточно всегда.
Собранный образ уже хочь допиливай напильнтком, хочеш так оставляй.
Ответ
#4
Уже давненько кидал видео с паком для распаковки. Скрипт там старый, заменишь на новый и укажешь в нем путь до AimpRec.dll как в оф гиде. Так же учти что это работает только на Windows XP и с патченным конфигом виртуалки (если она используется (прим для Virtual Box: http://www.kernelmode.info/forum/viewtop...=11&t=3478 , тут для x64 но суть понятна).

Даунлоад
Ответ
#5
все эти паблик скрипты полная дичь. Работают от случая к случаю и при этом на выходе полный мусор который еще и антивиры палят.
Ответ
#6
Deazer Написал:все эти паблик скрипты полная дичь. Работают от случая к случаю и при этом на выходе полный мусор который еще и антивиры палят.

Ну а кто спорит то, что вручную чище. Этого скрипта раньше вполне хватало для получения хотя-бы запускающегося бинарника.
Ответ
#7
ANZO Написал:Ну а кто спорит то, что вручную чище. Этого скрипта раньше вполне хватало для получения хотя-бы запускающегося бинарника.

Сейчас что уже на хватает? Я просто хотел понять как это работает, вчера прочитал - ничего почти не понял, кроме того темида проверяет себя через свою же CRC. Однако сегодня, пока пытался найти 607 патч под EU и в итоге ничего не нашев, пропатчил сам папку system, однако как я понимаю осталась проблема в L2.bin и Engine.dll

Вот собственно именно они и привели меня второй раз к этой теме. Буду рад если поможете их ковырнуть, или лучше всего научите. Рад буду понять такие вещи, а не тупо выпрашивать пачти.
Ответ


Возможно похожие темы ...
Тема Автор Ответы Просмотры Последний пост
  Снятие Темиды (Анпакинг) Hallelujah 6 2,649 10-10-2015, 01:38 AM
Последний пост: Hallelujah
  Ertheia без темиды ALF. 1 1,689 08-05-2015, 11:20 AM
Последний пост: Daan Raven
  engine.dll(Без темиды) RedIst 1 1,779 10-11-2014, 01:26 PM
Последний пост: Napster321

Перейти к форуму:


Пользователи, просматривающие эту тему: 1 Гость(ей)