2022-06-29摩登娱乐平台地址主页

 

Themida 保护旁路

在今天的文章中,让我们谈谈花哨的摩登娱乐平台地址主页 胎面。考虑一种绕过摩登娱乐平台地址主页 的简单方法。我将向您展示如何重置受保护的摩登娱乐平台地址主页 程序的试用版。

有关该主题的更多信息:StarForce 保护绕过

 
该文章用于教育目的,不呼吁任何非法行为。spy-soft.net 的编辑和作者均不对您的行为负责。

Themida 保护旁路

在本文中,我们不会考虑绕过摩登娱乐平台地址主页 试用的“传统”方法,而是会考虑破解和修补受保护程序的最简单、最容易理解的方法。该应用程序使用摩登娱乐平台地址主页 的第三个版本。像往常一样,您将需要最少的工具(x64dbg 及其插件)。

应该注意的是,您不应依赖DetectItEasy来检测摩登娱乐平台地址主页 。ExeInfo 和 Nauz 文件检测器可以更好地使用此保护。

执行信息
执行信息

 

Nauz 文件检测器
Nauz 文件检测器

文件中存在摩登娱乐平台地址主页 保护似乎可以通过部分之间的存在来暗示 idata和 . 包含 8 个随机字符的不可发音名称的两个部分的pdata 。但是,在第三个版本中,开发人员不再犹豫,直接调用 section . _ 开机代码经过精确加密、打包,不适合静态分析和逆向工程

首先,让我们尝试将受保护的程序加载到流行的 x64dbg 调试器中。当然,一切都很糟糕:当你启动调试器时,它陷入了一个看起来如此黑暗以至于你不想再处理它的虚拟机中。虚拟程序会立即触发调试器,此外,它还会跟踪其代码各个部分的冒险时间。

也不可能立即附加到已经活跃的进程,Themis 的开发人员也提供了这一点。让我们更聪明一点——也许,从过去的文章中,您还记得适用于 x64dbg 的精彩 ScyllaHide 反调试插件,特别是对于像我这样的懒人,它已经为所有流行的保护提供了现成的配置文件。当然,Themis 也有类似的配置文件,但是,它对我们帮助不大:在应用程序加载期间,它不会从反调试器中保存,但它已经允许您附加到正在运行的应用程序。

这没有什么意义:在此中断之后,跟踪会当场关闭应用程序。但这已经是某种进步——进一步,根据我们之前在ObsidiumEnigma和其他保护器上测试过的标准方案,我们尝试使用另一个专门为此设计的插件——Scylla 来转储中断的进程。

应用程序已成功转储。我们将寻找一个入口点,在很多情况下这已经足够了,但我们的情况很复杂。将转储文件加载到 IDA 后,我们发现我们的程序被很好地混淆了:在大多数导入函数的调用中(特别是在 QT 的库调用中,我们正在分析的程序就是在该库调用上),有存根导致相当长的这种疯狂代码链:

一个好的方法是过滤所有此类导入的地址并编写一个反混淆器,但是考虑到它们的数量,任务看起来很枯燥,我承诺了一种相对简单和舒适的方法(尽可能在如此严重的保护)。因此,是时候开始分析程序在运行过程中的逻辑了,也就是想办法去追踪它。

幸运的是,聪明的人已经加入进来,为我们创造了一个很棒的 Themidie 插件,它可以让你在摩登娱乐平台地址主页 下无缝追踪附加的过程。要使用它,您需要最新版本的 x64dbg 调试器和我在上面写过的 ScyllaHide 插件。

从GitHub下载 Themidie 的最新版本,并将Themidie.dll 和 Themidie.dp64 解压缩到 x64dbg 插件文件夹。因此,那里必须存在四个文件:

  • Themidie.dll
  • Themidie.dp64
  • HookLibraryx64.dll
  • ScyllaHideX64DBGPlugin.dp64

我们加载 x64dbg 并感到非常满意,我们在 Plugins 子菜单中找到了一个额外的 Themidie 项目。在 ScyllaHide 选项中,禁用除 Kill Anti-Attach 复选框之外的所有内容。

 
设置 Themidie 插件
设置 Themidie 插件

从 Plugins-Themidie-Start 子菜单运行正在调查的程序。如果我们做的一切都正确,那么应该会出现这样一个窗口。

在调试器中运行程序
在调试器中运行程序

从这个窗口中的文字来看,程序在启动时并没有立即加载到调试器中(而且,即使你想强制加载也不可能——即使这样,Themida 也会在加载时烧毁我们的调试器) .