Themida newest version-UNPACK

Здравствуйте ребята,есть одна прога мне нужно редактировать ресурсы,но она пакована новой версией Themida,пробовал AORE Themida unpack 2.0 не помогло,может кто нибудз посоветует что делать. Вот линк:

http://rapidshare.com/files/256362689/Themida-Packed_File.zip.html

Заранее благодарен,
с уважением cryptX.

 

Мало крякеров могут отодрать Themidу, а те, кто могут, явно не будут делать это за бесплатно.

 

cryptX, распаковал, код на oep восстановил, vm-ку и прочее уже сам прикручивай к дампу или жди помощи со стороны, мне больше лениво что-то делать за просто так
http://ifolder.ru/13179584

 

Neprovad RESPECT!!!!!!!!!!!!!!!!!

 

Neprovad большое спасибо!!!!!
Ты мне очень помог!!!!!

 

2 Neprovad или кто нибудь...
Еще один раз БОЛЬШОЕ СПАСИБО Neprovad.
Когда нажимаю на кнопку Finish прога зависает...
Пожайлуста если можешь исправь Import table,чтоб прога работала нормально.
Как вознограждение я даю 3 аски тому кто исправит Import table.

5039419
9591034
1146970


Заранее очень благодарен!!!!

 

2 Neprovad and 2 everybody
Пробовал с ImpRec восстановить,не получается пишет - IAT is still invalid you have to fix manually all unresolved pointers.

как можно это сделать ?

 

импорт нормальный был, я же говорю там не хватает виртуальной машины, ее надо "прикрепить" к файлу

 

2 Neprovad
Извини что трачу твое время, пожалуйста объясни как "прикрепить" ?
и почему impRec пишет - IAT is still invalid you have to fix manually all unresolved pointers,если импорт нормальный ?

Спасибо тебе!

 

1) в пакованной версии программы надо часть кода где находится vm скопировать в дамп.
к примеру первый переход в сторону vm находится
по адресу 0x0439347

Code:

.text:00439347                 jmp     loc_B3CE3D ; прыжок в секцию themida

эту секцию надо скопировать в дамп
2) не совсем понял смысла манипуляций с импортом, зачем мучить imprec если импорт цел? вообще почему появилась мысль о том что он покорежен?

 

2 Neprovad
просто я думал что от этого и прога зависает.А как найти эти vm переходы ?

 

2 Neprovad
а как эти переходы находить ???

 

делал так: ставил memory breakpoint на секцию с vm и когда сработало, посмотрел откуда был переход.
upd:

Code:

.text:00408959                 call    dword ptr [eax+88h] ; check
.text:0040895F                 test    al, al
.text:00408961                 jz      loc_408C2C
.text:00408967                 mov     ecx, [ebp+0ED60h]
.text:0040896D                 mov     [esp+0ECh+var_64], ebx
.text:00408974                 lea     edx, [esp+0ECh+var_64]
.text:0040897B                 mov     eax, [ecx]
.text:0040897D                 push    edx
.text:0040897E                 call    dword ptr [eax+88h] ; save to registry
.text:00408984                 test    al, al
.text:00408986                 jz      loc_408BDD

предлагаю также обратить внимание на данный участок кода, может оказаться весьма важным при взломе

 

Neprovad
Ставил бряки на секцию с Themida
срабативает на 00E9B003 50 PUSH EAX

 

и вообще по адресу 0x0439347 у меня F4

 

Neprovad
нашел.
CALL FAR FFB2:5DE94DD2
DEC DWORD PTR DS:[EDI+5C680037]

А откуда копировать ???

 

это потому что запустил ПАКОВАННУЮ версию программы
когда распаковка у themida заканчивается то по этому адресу будет переход как я и говорил
p.s.
не пиши по несколько сообщений подряд, модераторы это не любят если есть что дополнить исправь предыдущее сообщение

 

У меня ключик уже есть,только не могу разобратся с vm.

Neprovad а именно сколько байтов копировать ???

 

потрассируешь и поймешь чего не хватает, одна часть вмки уже была мной прикреплена

 

Neprovad
что то у меня не получается...
Сколько байтов с 0x0439347 копировать ???
И как узнать где заканчивается секция ?