Unpackare Themida 2.0.3.0 e ASProtect v1.32

[Gfff]

Ho cercato di capire con cosa era packato un file.
Analizzando con PE sniffer è risultata ASProtect v1.32, con RDG Packer Detector Themida 2.0.3.0

vorrei sapere se esiste qualche unpacker/guida/ o se mi sapete dire dove informarmi^^ per Themida e ASProtect.

Per asprotect ho trovato questo(allegato) script per ollyscript(plugin di ollydbg), però vorrei sapere su themida.

Grazie=)

EDIT: un'altra applicazione(protection ID) ha trovato come versione di themida v1.0.0.0 - v1.8.1.0

google non ha fornito nnt =(

 

[Predator]

gfff asprotect è alla portata del reverser medio (la versione sdk meno), ma themida è la protezione piu' difficile da affrontare,
se cerchi unpacking themida, sicuramente molto materiale, ma non saprei indicarti qualcosa in particolare. Sopratutto perchè themida presenta vari livelli di protezione.
Se posti il programma vediamo cosa si puo' fare, del resto l'unpacking non è illegale, lo è il cracking.
Certo contro themida non prometto proprio nulla (la vedo difficile) ma sono ugualmente curioso anche perchè dipende se è un eseguibile PE tipico o un .Net.
Ciauz

Predator

 

[Gfff]

Ok ad un'analisi più approfondita (suono nuovo del settore compatiscimi) ho trovato che è protetto da questo(secondo RDG Packer Detector);

xtreme-protector v1.08
Aspack v2.12
ASProtect v1.23

più themida, comunque ecco il file, mi interessa sapere come procedi=) ho voglia di imparare...grazie dell'attenzione.

http://www.mediafire.com/?z2z2f5wwoqz

 

[Predator]

xtreme protector è Themida

---

Ehmmm Nod32 me lo segnala come virus, hai spiegazioni in merito?

 

[Gfff]

ecco scansione virustotal è un louncher per una versione cinese di metin, a me nod non segnala nnt =|

MD5: ba0822fcadf1c6b2748441f649d2e568
First received: 2009.01.30 22:42:44 (CET)
Data 2009.01.30 22:42:44 (CET) [>16D]
Risultati 14/39
Permalink: analisis/33f6fdaa0d35510d0f9c67eb25ba4799

Antivirus Versione Ultimo aggiornamento Risultato
a-squared - - DroppedWin32.Worm.Stration.EM!IK
AhnLab-V3 - - -
AntiVir - - TR/Crypt.TPM.Gen
Authentium - - W32/Heuristic-THX!Eldorado
Avast - - -
AVG - - Win32/Themida
BitDefender - - -
CAT-QuickHeal - - -
ClamAV - - -
Comodo - - -
DrWeb - - Trojan.Packed.650
eSafe - - -
eTrust-Vet - - -
F-Prot - - W32/Heuristic-THX!Eldorado
F-Secure - - Packed.Win32.Black.a
Fortinet - - -
GData - - -
Ikarus - - DroppedWin32.Worm.Stration.EM
K7AntiVirus - - -
Kaspersky - - Packed.Win32.Black.a
McAfee - - New Malware.jn
McAfee+Artemis - - New Malware.jn
Microsoft - - -
NOD32 - - a variant of Win32/Packed.Themida
Norman - - -
nProtect - - -
Panda - - -
PCTools - - -
Prevx1 - - -
Rising - - -
SecureWeb-Gateway - - Trojan.Crypt.TPM.Gen
Sophos - - Mal/Behav-285
Sunbelt - - -
Symantec - - -
TheHacker - - -
TrendMicro - - -
VBA32 - - -
ViRobot - - -
VirusBuster - - -
Informazioni addizionali
MD5: ba0822fcadf1c6b2748441f649d2e568
SHA1: d5e95c40aaf76d58d6d6bbc63266fddeadb09286
SHA256: f53e6d3ea09e9f68f906f1db5eb72f47aa3b30a52ce2ca817c7dcf28f73f7b64
SHA512: 803b4538500b388831ae1218096cbca50e644b2923968d21d2f0b77a9e3b3e6db7ced3f93fb01e3447686db10021af5c96f5495e98a31636cf120a7728224e90

mi scuso per averti fatto preoccupare ma io lo uso e come me molti altri.

comunque non sapevo che extreme protector fosse themida =) sono ignorante.

 

[Predator]

ok perfetto,
è normale che mi dia questo errore?
---------------------------
Themida
---------------------------
Cannot find 'devil.dll'. Please, re-install this application
---------------------------
OK

 

[Gfff]

dimmi tutto quello che ti manca...quello è il louncher, ma c'è tutto il gioco nella cartella=) posto pian piano i file in modo da non doverli scaricare tutti o ti posto l'intera cartella? (in modo che non ci sia bisogno che tu l'installi).

 

[V1R5]

[ot]
Pred che unpacka un game per poi permettere un cheat non lo avevo mai visto xD
[/ot]

 

[Gfff]

sinceramente èred è un grande perchè sta permettendo a me di imparare...se hai letto ho chiesto di postare il procedimento. Sono niubbo e ho sete di conoscenza.....sono partito da metin perchè pensavo fosse semplice reversarlo, invece risulta difficile.

Comunque a me interessa sapere come si fa x poi creare il cheat, non mi interessa solo il fine, infatti per info si può usare il Multihack 4.0 di banjo e settarlo su 5Mt2, ma la domanda ovvia era...come si crea un cheat? e allora mi sono letto la guida di gex, che indica di modificare il gamecode, ma per modificare il gamecode mi serve il codice assembly, ma poi c'è Themida che rompe...allora mi serve preddy!

Comunque pred ho scoperto che è scritto in c++ con un tools....ma mi consigli un debugger? ho visto che PE disassembla, ma è tutto il codice quello? a me pare un pò poco....

PS: se uso termini errati o sbaglio a usarli compatitemi, sono ignorante.

 

[Predator]

per themida occorrono molti accorgimenti, al momento il mio problema è che non mi parte il tool
mi dicce che manca la devil.dll me la puoi uppare?

 

[Gfff]

Imparo in fretta =), ho debuggato il file, ora devo cercare l'OEP giusto?

ecco le dll che ti possono servire=)
http://www.mediafire.com/?ntxygnmjozt

 

[Predator]

Imparo in fretta =), ho debuggato il file, ora devo cercare l'OEP giusto?

ecco le dll che ti possono servire=)
http://www.mediafire.com/?ntxygnmjozt

sui devi riuscire ad arrivare all'OPE, eseguire il dump e ricostruire cioè che serve (ho detto nulla eh )

 

[Gfff]

non ho la minima idea di come si faccia xD, OEP so cosa è, ma il resto è arabo...la guida di ctrl mi permetterà di sapere come si fa? e i tool che trovano gli OEP funzionano? o devo trovarlo da solo?

e file che ti ho postato bastano o ti serve altro?

Forse troppe domande

 

[Predator]

...la guida di ctrl mi permetterà di sapere come si fa?

argh eliminate quella guida!!!! Perchè tutti quelli che la leggono vengono da me con le idee incasinate?!?!?!

 

[Gfff]

ehm effetti, l'ho letta....ma l'OEP nn l'ho trovato , come lo trovo?

Allora io ho aperto ollydbg, esso si apre e legge la parte di memoria di Themida.

lo so perchè se vado nella memorymap, leggo le sezioni del file vipmt2(sta scritto nella colonna owner, è giusto no?), tra quste come ultima c'è una sezione chiamata themida apro ed è la stessa.

Nella guida di ctrl, per trovare L'oep ho capito che bastava andare alla fine del codice utile, mettere un breakpoint,

poi runno, ecco si blocca qui

...ma non credo sia l'EP ....che faccio? :?:?

 

[Predator]

piano piano, stiamo di parlando di themida la soluzione occuperebbe cmq alcune pagine, altro che bpx alla fine!!!

---

ho messo le dll, ora quando lo avvio dice
FATAL ERROR!! Python Library file not exist!

 

[Gfff]

ora ti posto l'intera cartella, mi spiace ma sono 400mb! xD....se vuoi postarmi un procedimento=)

 

[Predator]

nooooooooooooooo 400 mb non li scarichero' mai
procedimento di cosa?

 

[Gfff]

per trovare l'oep per iniziare, per unpackare themida poi...insegnami master! mi sono divorato la guida di ctrl, sto cercando di imparare l'assembly...cerco perchè non mi è molto chiaro.............=(

 

[Predator]

allora... io ho non poche difficoltà con themida. Non è per nulla semplice.
per iniziare ad imparare a unpackkare inizia con upx, fsg, pecompact e poi fai telock.
naturalemtne a mano, magari apri un topic adatto.
Ciauz

Pred

 

[Gfff]

ecco ke mi mostra olly =)...vedi che riesci a capire....dimmi se ti serve altro

http://www.mediafire.com/?ik0otmzzijn

 

[Predator]

ehm quell'allegato ha utilità zero, pensi che mi leggo 60 mb di codice disasseblato in txt?
mi spiego meglio: Themida è un targhet veramete troppo complesso per te, inizia da qualcosa alla tua portata.
Da parte mia sinceramente non mi va di perdere tempo libero a unpackare un cheat

Preddy

 

[Gfff]

ok! Grazie comunque!