Премиум
- Статус
- Оффлайн
- Регистрация
- 5 Сен 2022
- Сообщения
- 89
- Реакции
- 18
решил поделиться фичей которая позволяет анпакать темиду и найти ее OEP, ну и строки анпакает (только C++)
кто будет писать про Unlicense, она воркает только на более старых версиях.
начнем:
открываем прогу в x64dbg
в sclyllahide ставим такие настройки для андетекта почти от любого протектора(в том числе и темиды):
дальше переходим в CPU и наблюдаем виртуализированною страшилку
переходим в Memory Map - там нам нужна .text секция - она содержит исполняемый код программы и основные функции.
т.к у темиды эта секция всегда первая нажимаем по ней (пустая хуйня под названием файла) и ставим брейкпоинт (F2) или - Memory Breakpoint → Execute → Single Shot
после того как поставили брейкпоинт, нажимаем слева вверху на стрелочку Run (F9)
после чего переходим в CPU и вы НЕ увидите настоящую точку входа сразу, для этого надо найти ниже инструкции, которые чаще всего заканчиваются на return (ret).
ставим брейкпоинт на инструкцию ret, после чего Run (F9), когда остановимся, убираем брейкпоинт и нажимаем Step Into (F7) - пошаговое выполнение.
вас кинет в ловушку джокера (кастомную секцию где нихуя не понятно) от темиды, но нам нужен реальный код:
повторяем залупу с брейкпоинтом на .text секцию, после чего Run (F9)
заходим в CPU и мы видим нашу настоящую точку входа.
чтоб найти int main вам надо ниже найти call'ы которые загружают argc/argv и ниже будет чуть чуть пространства после которого идет call - который является int main. (у вас может быть по другому но принцип тот же)
вот и все, дальше хуярите таким же образом эту залупу с брейкпоинтом на .text секцию
ну и строки анпакаются к этому всему.
