- Статус
- Оффлайн
- Регистрация
- 13 Фев 2026
- Сообщения
- 582
- Реакции
- 16
Впоролся в Themida: девирт и лифтинг в дампе P2C лоадера
Копаю на досуге один лоадер приватного софта и ожидаемо уперся в жирную стену виртуализации. Техническую базу я подготовил, но статика встала колом из-за VM-макросов.
Что уже сделано по реверсу:
Основной затык:
Разработчики софта не поскупились и обмазали всю критическую логику и поиск оффсетов макросами Themida. Пройти по XREFS невозможно — сразу улетаешь в бесконечные обфусцированные блоки и диспетчеры виртуальной машины. Статический анализ сейчас фактически бесполезен, так как логика исполняется строго через хендлеры мутации.
Если есть спецы по синтаксису VM или кто готов потыкать дамп — велком в ЛС. Могу предоставить локальный эмуль авты и чистые дампы памяти. Не реклама (noad).
Насколько сейчас реально поднять лифтер под современные билды протектора без тонны ручного реверса каждого хендлера?
Копаю на досуге один лоадер приватного софта и ожидаемо уперся в жирную стену виртуализации. Техническую базу я подготовил, но статика встала колом из-за VM-макросов.
Что уже сделано по реверсу:
- Полный байпас KeyAuth через локальную эмуляцию. Хукнул WinHTTP и getaddrinfo, весь трафик завернул на localhost. Handshake спуфнул, вытянув App Secret и OwnerID напрямую из памяти. Эмуляция воркает на все 100%.
- С эмуляцией авты лоадер успешно расшифровывает и маппит основной пейлоад. Дождался окончания рутины, заморозил процесс и снял сырой дамп PE-файла с OEP.
- IAT частично восстановил, строки в дампе прогружены.
Основной затык:
Разработчики софта не поскупились и обмазали всю критическую логику и поиск оффсетов макросами Themida. Пройти по XREFS невозможно — сразу улетаешь в бесконечные обфусцированные блоки и диспетчеры виртуальной машины. Статический анализ сейчас фактически бесполезен, так как логика исполняется строго через хендлеры мутации.
Ищу тех, кто плотно сидел на написании лифтеров или девиртуализаторов под актуальную Фемиду. Либо нужен дельный совет по вектору атаки через динамику (trace-based подход), чтобы хоть как-то вытащить исполняемый код из этих блоков.
Если есть спецы по синтаксису VM или кто готов потыкать дамп — велком в ЛС. Могу предоставить локальный эмуль авты и чистые дампы памяти. Не реклама (noad).
Насколько сейчас реально поднять лифтер под современные билды протектора без тонны ручного реверса каждого хендлера?