Интересно Проходим CrackMe с обходом протектора Themida

UnderD0g

Original poster
Member
Сообщения
17
Реакции
24
Посетить сайт
іііііі.png
И пустилась кровь из вены юного реверсера... А это значит что сегодня мы будем опять проходить какой-то CrackMe! Но теперь уровень будет сложнее и у нас будет первый владыка тьмы под названием Themida.


Themidaэто мощная система защиты, разработанная для программных разработчиков, которые хотят защитить свои приложения против продвинутого обратного инжиниринга и взлома программ.


Но как мы могли понять это мощная система защиты... Но как мы знаем, когда темно-алая кровь падает на клавиатуру реверсера то его невозможно победить.


Для начала нам нужно запустить наш CrackMe в отладчике x32dbg и просто запустим наш CrackMe через него:


Как мы видим ошибка, как перо пробила наше ребро... А это значит что надо как-то обойти этого всадника апокалипсиса чтобы он не смог наблюдать за нашем смертных грехом.



Для этого мы просто запускаем программу не в отладчике и запустим теперь наш пустой x32dbg:


Теперь нам надо нажать File > Attach и выбрать нашу программу:


В моем случае это Cheat15_protected выбираем его и жмем «Enter». После этого у нас все равно экран отладчика будет пустым :(

Чтобы это исправить просто нажмем левой кнопкой > Search for > All module > String references и мы будем видеть все нужные строки:


По строкам мы уже смогли найти ключ от CrackMe. Но давайте нанесем сокрушительный удар по этому змею тем самым отрубим его голову. Для этого я жму на

Код:
Address=00301158

Disassembly=push cheat15_protected.31DD18

String="Wrong license!"



И теперь мы видим такую картину:


Ох, этот прекрасно я будто наблюдаю за падением Люцифера. Давайте теперь посмотрим на строку 0030111A75 3C jne cheat15_protected.301158


Теперь с помощь этой строки мы будем писать лоадер через Abel Loader Generator.

Abel Loader Generator - генератор лоадеров для WIN32 программ.


Теперь запускаем Abel Loader Generator:


Там где я написал «Файл» мы пишем название нашего CrackMe. Ну и где я написал «Г.exe» пишем любое слово, но главное чтобы было .exe



Теперь два раза жмем на:


И ну нас откроется такое окошко:


Теперь в «Patch Address» мы пишем адрес этой строки: 0030111A 75 3C

Ну и пишем в «Patch search range» число 15:


Теперь в нижнее окошко мы пишем «Байты»!


У меня это:75 3С


Теперь я копирую адрес вот этой строки:


И опять перехожу на нашу любимую строку и жмем «Пробел»:




И теперь мы пишем jne Ox и наш адрес который мы недавно скопировали! После чего картина должна быть такой:

ssss.png
И в Abel Loader Generate пишем новые «Байты»:


Теперь просто жмем OK > Generate и сохраняем наш файл! После просто запустим наш CrackMe с новым названием «У МЕНЯ ЭТО Г.exe»:

pppp.png
Пишем что попало и смотрим на результат:

gggg.png
Как мы видим у нас все успешно! Мы как смогли победить одного из всадников ада! Но это война ещё не законченна так что жди будущих статьей.
 

JohnWoo

Member
Сообщения
18
Реакции
14
Посетить сайт
Если толково использовать виртуализацию функций + SDK с модулями что в комплекте то этот номер не пройдет. Но для начинающих и для познания то пойдет.