Autor
|
Tema: Debuggear dll (hkey-w32.dll) protegida con Themida (Leído 5,387 veces)
|
cccroswhite
Desconectado
Mensajes: 2
|
Buenas tardes, esta es mi primera intervención en este foro.
Hace 10 años o más que ya no le he entrado al tema del debugging, antes solía hacerlo con el softice pero no lo tengo a la mano, lo he buscado en google pero no lo he podido encontrar.
No deseo clonar el hardkey. Estoy en la labor de desempaquetar esta dll (hkey-w32.dll), cuya información mostrada por el Protection id es:
[VersionInfo] Company Name : SITEPRO S.A. [VersionInfo] Product Name : HARDkey API [VersionInfo] Product Version : 6. 8. 1121. 9 [VersionInfo] File Description : HARDkey API [VersionInfo] File Version : 6. 8. 1121. 9 [VersionInfo] Original FileName : hkey-w32.dll [VersionInfo] Internal Name : hkey-w32.dll [VersionInfo] Version Comments : HARDkey API [VersionInfo] Legal Trademarks : 6. 8. 1121. 9 [VersionInfo] Legal Copyrights : Sitepro S.A. (C) 2012 [!] Themida v2.0.1.0 - v2.1.8.0 (or newer) detected !
Lo he intentado con el Ollydbg, y diferentes plugins, sin poder quitar la protección de Themida, también he intentado encontrar otro Ollydbg modificado que evite la detección del Themida y nada.
Quisiera saber si conocen algún otro debugger tipo softice que me pueda ayudar en esta labor o como podría proceder para quitar la protección del Themida
PD: -Ya he realizado la búsqueda en el foro, y en google sin encontrar solución alguna. Gracias de antemano.
Saludos.
|
|
|
En línea
|
|
|
|
MCKSys Argentina
|
Buenas tardes, esta es mi primera intervención en este foro.
Hace 10 años o más que ya no le he entrado al tema del debugging, antes solía hacerlo con el softice pero no lo tengo a la mano, lo he buscado en google pero no lo he podido encontrar.
No deseo clonar el hardkey. Estoy en la labor de desempaquetar esta dll (hkey-w32.dll), cuya información mostrada por el Protection id es:
[VersionInfo] Company Name : SITEPRO S.A. [VersionInfo] Product Name : HARDkey API [VersionInfo] Product Version : 6. 8. 1121. 9 [VersionInfo] File Description : HARDkey API [VersionInfo] File Version : 6. 8. 1121. 9 [VersionInfo] Original FileName : hkey-w32.dll [VersionInfo] Internal Name : hkey-w32.dll [VersionInfo] Version Comments : HARDkey API [VersionInfo] Legal Trademarks : 6. 8. 1121. 9 [VersionInfo] Legal Copyrights : Sitepro S.A. (C) 2012 [!] Themida v2.0.1.0 - v2.1.8.0 (or newer) detected !
Lo he intentado con el Ollydbg, y diferentes plugins, sin poder quitar la protección de Themida, también he intentado encontrar otro Ollydbg modificado que evite la detección del Themida y nada.
Quisiera saber si conocen algún otro debugger tipo softice que me pueda ayudar en esta labor o como podría proceder para quitar la protección del Themida
PD: -Ya he realizado la búsqueda en el foro, y en google sin encontrar solución alguna. Gracias de antemano.
Saludos.
Hola! Quitar themida de una dll (o un exe) es una tarea titánica si se ha empleado virtualización. Sólo usando el plugin StrongOD podrías evitar la detección y éste mismo, a veces, falla. Ahora, conozco esa dll en particular pues es la que se usa para la comunicacion app-dongle, en las apps protegidas con las dongles EXEKey++. No sé qué programa estarás atacando, pero si la DLL tiene Themida, no vas a poder avanzar mucho sobre la misma (menos aún si tiene virtualización al 100%) ya que la DLL tiene, además, protecciones propias. Saludos!
|
|
|
En línea
|
MCKSys Argentina "Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."
|
|
|
apuromafo CLS
|
todo programa protegido con themida es re complicado, porque hay muchas rutinas xor sobre el ejecutable, me explico, hay 25 hilos que desencriptan el exe, y algunos son antidebugger, en general es posible desempacar pero hay que fixear luego antidumps y reparar bastante, aún asi por el nombre es un dongle, los dongle del tema
el unico olly pensado para themida es ollyice, además aun reparado en su global,depende de otro ollydbg, strong od puede ayudar en xp, pero en windows x64, tendrías que usar titanengine mas cuantos otros plugins
snat ha hecho un unpack sobre un exe en themida de los últimos, fue denso, no asi imposible, asi que si te lo propones de aquí a un año demás que desempacas un themida, aunque sea con el script de lcf
Saludos Apuromafo
|
|
|
En línea
|
Apuromafo
|
|
|
cccroswhite
Desconectado
Mensajes: 2
|
Hola apuromafo, y MCKSys Argentina, si tienen razón, está complicado este tema, y como bien dices apuromafo, estoy tratando de hacerlo con la guia de lcf, voy a tener que meterme de lleno en esto. Aunque otra opción sería clonarme el usb dongle, conocen algún programa que pueda clonar usb (considerando que el usb no es reconocido por ningún sistema de archivos - esto lo comento porque en google hay clonadores pero para fat32 y demás). Sino no me quedará de otra que programar algo a medio o bajo nivel (podría usar el c++, o sino el MASM) que lea el puerto USB. Si tienen alguna herramienta que permita capturar la información que emite el puerto USB sería genial.
Saludos y gracias.
|
|
|
En línea
|
|
|
|
zerointhewill
Desconectado
Mensajes: 24
|
es verdad lo que dice apuromafo amigos es muy cierto solo el puede
|
|
|
En línea
|
|
|
|
|
Mensajes similares |
|
Asunto |
Iniciado por |
Respuestas |
Vistas |
Último mensaje |
|
|
¿Como Debuggear una DLL Inyectada en VC 2008 Profesional?
Programación C/C++
|
☺BADMAN
|
2
|
2,752
|
12 Julio 2010, 20:17 pm
por Eternal Idol
|
|
|
Debuggear programa .NET?
Ingeniería Inversa
|
.:UND3R:.
|
5
|
4,691
|
23 Agosto 2011, 00:23 am
por tena
|
|
|
Ayuda Exekey++ hkey-w32.dll y win10 32bits
Ingeniería Inversa
|
soretito
|
2
|
3,631
|
29 Enero 2019, 00:18 am
por soretito
|
|
|
debuggear programa automocion
Ingeniería Inversa
|
Albertoak
|
5
|
5,119
|
18 Octubre 2020, 20:00 pm
por FFernandez
|
|
|
pasar excepcion al debuggear programa
Ingeniería Inversa
|
truquinho
|
8
|
6,713
|
4 Marzo 2023, 23:19 pm
por MCKSys Argentina
|
|