Ayuda con OllyDBG y Themida, leyendo memoria

Иōҳ · 10 Agosto 2011, 03:27 AM

CitarThemida es un packer muy dificil, pero no imposible, claro que yo con mi nivel no puedo, hacerlo, pero hay gente que sí.

http://forum.tuts4you.com/index.php?act=idx

En este foro, hay personas que te pueden ayudar con el desempacado con themida, hay muchos que lo han logrado con versiones anteriores a la actual.

Yo también.

Tambien puedes pasarte por Crackalatinos, el grupo en google, que hay algunos que han tocado themida y te pueden ayudar.

Ahora viene fly que sabe más del tema sobre themida, él hizo un inline patching a winlicence que son primos hermanos.

Fly = MCKSys Argentina, si deseas enviale un MP.

Nox.

Karman · 10 Agosto 2011, 04:31 AM

Themida no tiene protección contra inyección, dicha protección debe estar dentro del código del anticheat (si tiene un driver suelen hookear ntcreatesection o ntcreatethread para detectar inyecciones), fuera de eso, que te detecte el CE puede ser por varios motivos (detectar el driver del CE [si está corriendo] o detección del proceso del CE), podrías (si es que se puede, dado que nunca usé el CE) desactivar el driver y ver si te lo sigue detectando, si no es así, prueba cambiar el nombre del ejecutable, si cambiando el nombre lo sigue detectando puede ser por el nombre de la ventana... etc... de todas formas, para ver el código del programa puedes utilizar algún antirootkit como el Rootkit Unhooker o alguno parecido para dumpear el proceso (con eso ya puedes ver parte del código [que no esté virtualizado]), si está virtualizado hasta hoy no hay ningún método 100% funcional para desvirtualizar así que esa parte no podrás verla... je

S2

ŞCØRPIØN-X3 · 10 Agosto 2011, 19:39 PM

ninguna de esos posibles problemas son, ya habia probado tiempo atras, modifique todo el code del ce, la imagen la posicion de los command, el caption de la ventana, los datos de autor, los caption de los botones, el tamaño del form, y otras cosas mas y no da resultado, al juego le deshabilite la protexion y no lo detecta al CE mientras este "inactivo", recien lo detecta cuando selecciono el proceso del juego, osea detecta alguna dll que se inyecta o algo asi

y supongo que el juego aparte de la proteccion que le desactive (X-Trap) tiene el Themida y la proteccion propia del juego... xD

Karman · 10 Agosto 2011, 20:03 PM

no, lo que debe detectar es cuando el CE intenta tener acceso a la memoria del juego (lo más probable es una protección por driver: ntprotectvirtualmemory, ntreadvirtualmemory), puedes probar lo siguiente: utiliza algún programa como process hacker o el process explorer para suspender el proceso del juego, luego trata de descargar el driver mediante el RU y recién ahí intenta usar el CE (puedes probar tb sin descargar el driver).

S2

ŞCØRPIØN-X3 · 10 Agosto 2011, 20:42 PM

oks ahora pruebo haber si puedo.. grax

enseguida les comento

------------------
Probe suspendiendo el proceso pero sigue igual, y como es eso de descargar el driver por medio del RU? Gracias por la ayuda

ŞCØRPIØN-X3 · 12 Agosto 2011, 03:59 AM

:/ alguna idea...?

Draover · 19 Septiembre 2011, 11:06 AM

Oye amigo resolviste el problema de desepaquetar themida¿?, estoy atorado ahi con un programa

, saludos