si ya conozco la pagina de ricardo, hice el curso de el, de introduccion a olly, y algunos del curso nuevo que me enseñaron bastante, los tutoriales de como hacer unpacking a themida van al grano, y no explican el proceso, solo te dicen como hacerlo, yo quiero saber las tecnicas, que conocimientos tenes que tener para poder solo.
Coloco lo mismo que esta en el thread similar:
realmente quieres desempacarlo? tardarás posiblemente 1 mes en depurarlo si aun no sabes mucho
los script automaticos, incluyen experiencia de muchos temas, si eres capaz de leer las instrucciones y ver como funciona deberias saber como lo hace
respecto a tutoriales yendo al grano..si hay de ncr, de snat y uno mio con snat
sea cual sea el caso themida es un hueso duro de roer y no es algo que se pueda decir oye desempacamelo, aunque sea por 100000 dolares, no va en eso
ademas themida tiene 2 tipos de máquina virtual cisc risc lo que hace que sea aun mas complejo sacar cosas genericas
digamos una idea basica de unpacking
1) hay algunos thread con antidebug, al terminar llegas al oep
2) hay apis que estan emuladas, apis que estan desordenadas, apis que estan protegidas por vm, apis normales que puedes recuperar aveces en puntos mágicos...
3) al dumpear tienes que agrgar varios heap, lo que hace que si estan mal distribuidos en el nuevo exe..tendras que cargarlo en el mismo modulo o bien buscar alguna forma de parchar para que lo acepte
4) a pesar de desempacar y agregar antidump, logras tener el programa corriendo, nada asegura que no hubo algun thread que ha dejado dañado alguna porcion del programa, que trabaje esperando un evento que posiblemente no ocurrirá, deberas descifrar la porcion y dejarla descifrada...
5) a pesar de desempacar, descifrar, parchar reparar, nadie te asegura que el programa no verifique nuevos crc, osea ademas tienes que reparar pequeños algoritmos que validen de la misma forma...
luego de eso tienes un programa desempacado y funcional, antes de eso, tienes que saber
las apis que antes eran jmp dword 4010000 ahora son del tipo jmp lugar de themida
y posiblemente nunca tienees tu iat original, osea debes re-construir...
coloca buscar "themida"
http://ricardonarvaja.info/WEB/buscador.phpy posiblemente tengas mas informacion
saludos cordiales
Apuromafo
pd: es mas facil intentar inlinear con dup, sabiendo que parcharás, a desempacarlo
Cierro el tema por estar duplicado.
Autor
En línea
