themida unpack....

퍼온곳 : http://codetronik.tistory.com/61

미친 악성코드 vmprotecet랑 더미다랑 요즘 다시 유행하네...아우 

본 포스팅은 LCF-AT가 TUTS4YOU에 공개한 Themida - Winlicense Ultra Unpacker 1.4 스크립트를 가지고 매뉴얼 언패킹 하는 것을 다룹니다. 

아래 URL에 더 자세하고 많은 내용이 있습니다.

https://forum.tuts4you.com/topic/34085-themida-winlicense-ultra-unpacker-14/

준비물

OllyDbg 1.0 

ODbgScript / StrongOD / Phant0m 플러그인

 ODbgScript.1.82.rar PhantOm Plugin v1.85.rar StrongOD v0.4.8.892.rar

언패킹 스크립트 / ARImpRec.dll 

 ARImpRec.dll Themida - Winlicense Ultra Unpacker 1.0.txt

 

1. 디버깅 옵션에서 처음 정지될 포인트를 수정합니다.

2. 플러그인 옵션을 수정합니다.

   

3. 스크립트에서 DLL 경로를 수정합니다. 

4. 샘플을 로드 한 후 (F9로 실행 금지) 플러그인에서 스크립트 창을 띄운 후 실행합니다.

5. 중간에 call LOG_START가 나오면 Resume합니다.

6. EFL을 어디서 체크할 것인지 묻습니다. WinLicense 안에서 할건지 밖에서 할건지

여기선 472DF9에 있으므로 Yes(안) 를 누릅니다. (WinLicense : 470000 (size : 1F80000)

6. 다이렉트 API 점프를 FIX할 것인지 묻습니다. 처음엔 NO, 추후 실패하면 Yes를 누릅니다.

7. 언패킹에 성공하면 성공 메시지가 뜨면서 코드가 복원됩니다.

Codetronik __ 더미다 언패킹 따라하기 Themida - Winlicense Ultra Unpacker 1.pdf

----------------------------------------------------------------------------

우히...저 위대로 안되서 다른 themida 보는방법이랑 섞어서 해봤더니 풀리네..ㅋㅋㅋㅋㅋㅋ 오예오예~~ 추가적으로 했던 방법은 나중에 이미지 떠서 올리겠습니다~캬캬캬캬캬캬캬 기분좋군

아참 추가로 있는 pdf는 혹시 자료 지워져서 이미지 날라가면 아까워서 따로 저장해둔겁니다. 위에 사이트랑 같은정보입니다.

설정 부분 옵션 변경 사항. 그리고 추가적으로 찾는방법은 또 나중에...아 요즘 드럽게 바쁨;;;ㅠㅠ

추가 더미다 스크립트최신 2.0

ThemidaOEP.7z