aveces dependerá de las herramientas que usemos para encontrar los datos relevantes

te hago una alusion a una tool de karmany
https://foro.elhacker.net/ingenieria_inversa/file_location_calculator_v032_por_karmany-t262979.0.html

aqui puedes confirmar que las direcciones muchas veces tienen3  formatos

Virtual Adress, relative virtual adress y offset

arriba dice RVA, osea relative virtual adress, si no sabes calcular para tu programa ,te sugiero hagas uso de esa herramienta


por otro lado hay tutoriales al respecto en crackslatinos sobre la iat y la init table en general


digamos que la import table te dirá que apis usará, la iat dirá en forma ordenada cual es el salto para cada import usada

solo algo asi seria de idea, obviamente leyendo verás que tiene su formato estructura y que cada dll que importa el programa, tambien necesita un nombre y una direccion asociada, bueno un paso a la vez


Saludos Apuromafo

la unica forma de intentarlo es que lo veas, ya que eres el interesado

el tutorial de como usarlo es un largo thread
http://foro.elhacker.net/ingenieria_inversa/tutorial_wpe_pro_captura_modifica_y_envia_paquetes_tcp_cheats_juegos-t405121.0.html

Saludos Apuromafo

de verdad el buscador de ricardonarvaja esta en

ricardonarvaja.info.info/WEB/buscador.php

Saludos Apuromafo

Armadillo es un protector comercial el cual dejo de dar soporte hace unos años

existen muchos tutoriales , se requiere tiempo y paciencia

hace un tiempo tambien existen script en tuts4you que automatizan el unpack, pero no la reparacion de nanomites

en resumen encontrar el oep, reparar el peheader, reparar la iat, reparar el cambio de bases de la iat, reparar el entrypoint si es dll, reparar los environmentvariables si es un programa con sdk, reparar las nanomites (si las tiene)

existen 2 opciones generales, copymew y debugblocker, sean cual sea las opciones, además tendras que lidiar con el hecho que pueden o no tener monitores si estas en maquina virtual o 1 solo proceso en memoria

ahora bien con herramientas de existen :
1) script para unpack
2) tool como armaggedon para unpack
3) atk tool para keygening y alguno que otro bruteforce según se necesite (cuda/otro)


el tiempo promedio de desempacarlo cuando se sabe es 1 hora aprox
el tiempo promedio para keygening cuando no es short v3 lv 10, es menor a 1 dia, en todos los otros casos ante cualquier desconocimiento, tardaras semanas...


saludos Cordiales

Apuromafo CLS

si bastantes, veamos vmprotect, winlicense, enigmaprotector entre otros, además considera que estos son packer para x86 , tambien existen plataformas x64 y .net  osea hay un verdadero mundo...de protecciones

http://ricardonarvaja.info.info/WEB/buscador.php

coloca themida

realmente quieres desempacarlo? tardarás posiblemente 1 mes en depurarlo si aun no sabes mucho

los script automaticos, incluyen experiencia de muchos temas, si eres capaz de leer las instrucciones y ver como funciona deberias saber como lo hace

respecto a tutoriales yendo al grano..si hay de ncr, de snat y uno mio con snat

sea cual sea el caso themida es un hueso duro de roer y no es algo que se pueda decir  oye desempacamelo, aunque sea por 100000 dolares, no va en eso

ademas themida tiene 2 tipos de máquina virtual cisc risc lo que hace que sea aun mas complejo sacar cosas genericas




digamos una idea basica de unpacking

1) hay algunos thread con antidebug, al terminar llegas al oep

2) hay apis que estan emuladas, apis que estan desordenadas, apis que estan protegidas por vm, apis normales que puedes recuperar aveces en puntos mágicos...

3) al dumpear tienes que agrgar varios heap, lo que hace que si estan mal distribuidos en el nuevo exe..tendras que cargarlo en el mismo modulo o bien buscar alguna forma de parchar para que lo acepte

4) a pesar de desempacar y agregar antidump, logras tener el programa corriendo, nada asegura que no hubo algun thread que ha dejado dañado alguna porcion del programa, que trabaje esperando un evento que posiblemente no ocurrirá, deberas descifrar la porcion y dejarla descifrada...

5) a pesar de desempacar, descifrar, parchar reparar, nadie te asegura que el programa no verifique nuevos crc, osea ademas tienes que reparar pequeños algoritmos que validen de la misma forma...



luego de eso tienes un programa desempacado y funcional, antes de eso, tienes que saber

las apis que antes eran  jmp dword 4010000 ahora son del tipo jmp lugar de themida

y posiblemente nunca tienees tu iat original, osea debes re-construir...
coloca buscar "themida"

http://ricardonarvaja.info.info/WEB/buscador.php

y posiblemente tengas mas informacion

saludos cordiales
Apuromafo

pd: es mas facil intentar inlinear con dup, sabiendo que parcharás, a desempacarlo

lo mas basico es que sepas que hidedebugger fue pensado para windows xp x86

windows 8.1 ya implica que debes usar un plugin para pasar las 2 primeras excepciones del sistema

te sugiero el Strong OD desde tuts4you y marcas la opcion de hidedebugger ...

pasa por el faq o lee algunos tutoriales donde iniciar en apuromafo.net

respecto a themida es un packer durisimo, es ideal parcharlo con dup, antes que desempacarlo debido a los antidump que aveces afectan hasta a los threads, en cambio un inline/cambio con loader puedes modificar a gusto, solo debes saber que hacer


Saludos Apuromafo

yo creo que esto es mas area de hadware o programacion en general

por otro ado cuando trabajas con arduino uno deberia leer la documentacion y preguntar en foros especialistas para ello...eso pienso..no se que opinas?