Вопрос Themida Devirtualization — девирт и лифтинг на дампе P2C лоадера

[hex_cat]

Впоролся в Themida: девирт и лифтинг в дампе P2C лоадера

Копаю на досуге один лоадер приватного софта и ожидаемо уперся в жирную стену виртуализации. Техническую базу я подготовил, но статика встала колом из-за VM-макросов.

Что уже сделано по реверсу:

1. Полный байпас KeyAuth через локальную эмуляцию. Хукнул WinHTTP и getaddrinfo, весь трафик завернул на localhost. Handshake спуфнул, вытянув App Secret и OwnerID напрямую из памяти. Эмуляция воркает на все 100%.
2. С эмуляцией авты лоадер успешно расшифровывает и маппит основной пейлоад. Дождался окончания рутины, заморозил процесс и снял сырой дамп PE-файла с OEP.
3. IAT частично восстановил, строки в дампе прогружены.

Основной затык:
Разработчики софта не поскупились и обмазали всю критическую логику и поиск оффсетов макросами Themida. Пройти по XREFS невозможно — сразу улетаешь в бесконечные обфусцированные блоки и диспетчеры виртуальной машины. Статический анализ сейчас фактически бесполезен, так как логика исполняется строго через хендлеры мутации.

Спойлер: Технические детали и запрос

Ищу тех, кто плотно сидел на написании лифтеров или девиртуализаторов под актуальную Фемиду. Либо нужен дельный совет по вектору атаки через динамику (trace-based подход), чтобы хоть как-то вытащить исполняемый код из этих блоков.

Если есть спецы по синтаксису VM или кто готов потыкать дамп — велком в ЛС. Могу предоставить локальный эмуль авты и чистые дампы памяти. Не реклама (noad).

Насколько сейчас реально поднять лифтер под современные билды протектора без тонны ручного реверса каждого хендлера?