Интересно Проходим CrackMe с обходом протектора Themida

[UnderD0g]

И пустилась кровь из вены юного реверсера... А это значит что сегодня мы будем опять проходить какой-то CrackMe! Но теперь уровень будет сложнее и у нас будет первый владыка тьмы под названием Themida.

Themida – это мощная система защиты, разработанная для программных разработчиков, которые хотят защитить свои приложения против продвинутого обратного инжиниринга и взлома программ.

Но как мы могли понять это мощная система защиты... Но как мы знаем, когда темно-алая кровь падает на клавиатуру реверсера то его невозможно победить.


Для начала нам нужно запустить наш CrackMe в отладчике x32dbg и просто запустим наш CrackMe через него:

Как мы видим ошибка, как перо пробила наше ребро... А это значит что надо как-то обойти этого всадника апокалипсиса чтобы он не смог наблюдать за нашем смертных грехом.



Для этого мы просто запускаем программу не в отладчике и запустим теперь наш пустой x32dbg:

Теперь нам надо нажать File > Attach и выбрать нашу программу:

В моем случае это Cheat15_protected выбираем его и жмем «Enter». После этого у нас все равно экран отладчика будет пустым

Чтобы это исправить просто нажмем левой кнопкой > Search for > All module > String references и мы будем видеть все нужные строки:

По строкам мы уже смогли найти ключ от CrackMe. Но давайте нанесем сокрушительный удар по этому змею тем самым отрубим его голову. Для этого я жму на

Address=00301158

Disassembly=push cheat15_protected.31DD18

String="Wrong license!"

И теперь мы видим такую картину:

Ох, этот прекрасно я будто наблюдаю за падением Люцифера. Давайте теперь посмотрим на строку 0030111A75 3C jne cheat15_protected.301158

Теперь с помощь этой строки мы будем писать лоадер через Abel Loader Generator.

Abel Loader Generator - генератор лоадеров для WIN32 программ.

Теперь запускаем Abel Loader Generator:

Там где я написал «Файл» мы пишем название нашего CrackMe. Ну и где я написал «Г.exe» пишем любое слово, но главное чтобы было .exe



Теперь два раза жмем на:

И ну нас откроется такое окошко:

Теперь в «Patch Address» мы пишем адрес этой строки: 0030111A 75 3C

Ну и пишем в «Patch search range» число 15:

Теперь в нижнее окошко мы пишем «Байты»!

У меня это:75 3С

Теперь я копирую адрес вот этой строки:

И опять перехожу на нашу любимую строку и жмем «Пробел»:

И теперь мы пишем jne Ox и наш адрес который мы недавно скопировали! После чего картина должна быть такой:


И в Abel Loader Generate пишем новые «Байты»:

Теперь просто жмем OK > Generate и сохраняем наш файл! После просто запустим наш CrackMe с новым названием «У МЕНЯ ЭТО Г.exe»:


Пишем что попало и смотрим на результат:


Как мы видим у нас все успешно! Мы как смогли победить одного из всадников ада! Но это война ещё не законченна так что жди будущих статьей.

 

[Froce1975]

Great effort man..!

 

[JohnWoo]

Если толково использовать виртуализацию функций + SDK с модулями что в комплекте то этот номер не пройдет. Но для начинающих и для познания то пойдет.