Debuggear dll (hkey-w32.dll) protegida con Themida

Iniciado por cccroswhite, 13 Enero 2016, 01:01 AM

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario

cccroswhite

13 Enero 2016, 01:01 AM
Buenas tardes, esta es mi primera intervención en este foro.

Hace 10 años o más que ya no le he entrado al tema del debugging, antes solía hacerlo con el softice pero no lo tengo a la mano, lo he buscado en google pero no lo he podido encontrar.

No deseo clonar el hardkey. Estoy en la labor de desempaquetar esta dll (hkey-w32.dll), cuya información mostrada por el Protection id es:

[VersionInfo] Company Name : SITEPRO S.A.
[VersionInfo] Product Name : HARDkey API
[VersionInfo] Product Version : 6. 8. 1121. 9
[VersionInfo] File Description : HARDkey API
[VersionInfo] File Version : 6. 8. 1121. 9
[VersionInfo] Original FileName : hkey-w32.dll
[VersionInfo] Internal Name : hkey-w32.dll
[VersionInfo] Version Comments : HARDkey API
[VersionInfo] Legal Trademarks : 6. 8. 1121. 9
[VersionInfo] Legal Copyrights : Sitepro S.A. (C) 2012
[!] Themida v2.0.1.0 - v2.1.8.0 (or newer) detected !

Lo he intentado con el Ollydbg, y diferentes plugins, sin poder quitar la protección de Themida, también he intentado encontrar otro Ollydbg modificado que evite la detección del Themida y nada.

Quisiera saber si conocen algún otro debugger tipo softice que me pueda ayudar en esta labor o como podría proceder para quitar la protección del Themida

PD:
-Ya he realizado la búsqueda en el foro, y en google sin encontrar solución alguna.
Gracias de antemano.

Saludos.

MCKSys Argentina

#1
13 Enero 2016, 02:01 AM
Cita de: cccroswhite en 13 Enero 2016, 01:01 AM
Buenas tardes, esta es mi primera intervención en este foro.

Hace 10 años o más que ya no le he entrado al tema del debugging, antes solía hacerlo con el softice pero no lo tengo a la mano, lo he buscado en google pero no lo he podido encontrar.

No deseo clonar el hardkey. Estoy en la labor de desempaquetar esta dll (hkey-w32.dll), cuya información mostrada por el Protection id es:

[VersionInfo] Company Name : SITEPRO S.A.
[VersionInfo] Product Name : HARDkey API
[VersionInfo] Product Version : 6. 8. 1121. 9
[VersionInfo] File Description : HARDkey API
[VersionInfo] File Version : 6. 8. 1121. 9
[VersionInfo] Original FileName : hkey-w32.dll
[VersionInfo] Internal Name : hkey-w32.dll
[VersionInfo] Version Comments : HARDkey API
[VersionInfo] Legal Trademarks : 6. 8. 1121. 9
[VersionInfo] Legal Copyrights : Sitepro S.A. (C) 2012
[!] Themida v2.0.1.0 - v2.1.8.0 (or newer) detected !

Lo he intentado con el Ollydbg, y diferentes plugins, sin poder quitar la protección de Themida, también he intentado encontrar otro Ollydbg modificado que evite la detección del Themida y nada.

Quisiera saber si conocen algún otro debugger tipo softice que me pueda ayudar en esta labor o como podría proceder para quitar la protección del Themida

PD:
-Ya he realizado la búsqueda en el foro, y en google sin encontrar solución alguna.
Gracias de antemano.

Saludos.

Hola!

Quitar themida de una dll (o un exe) es una tarea titánica si se ha empleado virtualización. Sólo usando el plugin StrongOD podrías evitar la detección y éste mismo, a veces, falla.

Ahora, conozco esa dll en particular pues es la que se usa para la comunicacion app-dongle, en las apps protegidas con las dongles EXEKey++.

No sé qué programa estarás atacando, pero si la DLL tiene Themida, no vas a poder avanzar mucho sobre la misma (menos aún si tiene virtualización al 100%) ya que la DLL tiene, además, protecciones propias.

Saludos!
MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."

Reglas del foro - FAQ Ing. Inversa - Buscador del foro

apuromafo CLS

#2
19 Enero 2016, 23:35 PM
todo programa protegido con themida es re complicado, porque hay muchas rutinas xor sobre el ejecutable, me explico, hay 25 hilos que desencriptan el exe, y algunos son antidebugger, en general es posible desempacar pero hay que fixear luego antidumps y reparar bastante, aún asi por el nombre es un dongle, los dongle del tema

el unico olly pensado para themida es ollyice, además aun reparado en su global,depende de otro ollydbg, strong od puede ayudar en xp, pero en windows x64, tendrías que usar titanengine mas cuantos otros plugins

snat ha hecho un unpack sobre un exe en themida de los últimos, fue denso, no asi imposible, asi que si te lo propones de aquí a un año demás que desempacas un themida, aunque sea con el script de lcf

Saludos Apuromafo

cccroswhite

#3
20 Enero 2016, 06:16 AM
Hola apuromafo, y MCKSys Argentina, si tienen razón, está complicado este tema, y como bien dices apuromafo, estoy tratando de hacerlo con la guia de lcf, voy a tener que meterme de lleno en esto. Aunque otra opción sería clonarme el usb dongle, conocen algún programa que pueda clonar usb (considerando que el usb no es reconocido por ningún sistema de archivos - esto lo comento porque en google hay clonadores pero para fat32 y demás). Sino no me quedará de otra que programar algo a medio o bajo nivel (podría usar el c++, o sino el MASM) que lea el puerto USB. Si tienen alguna herramienta que permita capturar la información que emite el puerto USB sería genial.

Saludos y gracias.

zerointhewill

#4
20 Enero 2016, 17:18 PM
es verdad lo que dice apuromafo amigos es muy cierto solo el puede  :xD
Imprimir
Ir Arriba Páginas1
Acciones del Usuario