Cómo Desempaquetar Themida 2.Xx (WXP)

3/8/2021 Cómo desempaquetar Themida 2.
xx (WXP) - ZenHAX
ZenHAX
Foro de investigación de juegos
gratis | Soporte oficial QuickBMS |
twitter @zenhax | SSL
HTTPS://zenhax.com
Registrarse Iniciar sesión

Búsqueda de preguntas frecuentes
Actualmente es mar 03 de agosto de 2021 1:21 am
Temas sin respuesta | Temas activos
Índice del tablero » Tutoriales Todas las horas son UTC
Cómo desempaquetar Themida 2.xx (WXP)
Página 1 de 7
[131 publicaciones] Ir a la página 1 2 3 4 5 … 7 Siguiente

Vista de impresión Tema anterior | Siguiente tema
Autor Mensaje
Asunto: Cómo desempaquetar Themida 2.xx (WXP)

Error crítico
Publicado: miércoles, 17 de junio de 2015 a las 15:15
Hola a todos,
Hoy les mostraré cómo pueden descomprimir una muestra que está empaquetada con
Themida. Este tutorial le mostrará cómo realizar el proceso sin necesidad de utilizar
manualmente un depurador usted mismo.
Lo que aprenderá en este hilo:
Registrado: Thu Ago 14, - Qué es Themida
2014 8:52 pm - Un poco sobre cómo funciona Themida
Publicaciones: 203
- Por qué los empaquetadores / ofuscadores pueden usarse no solo con software
malicioso, sino también con software seguro y legítimo
- Por qué desempaquetar es útil para Malware Analysis
- Cómo puede desempaquetar Muestras empaquetadas por Themida sin requerir

conocimiento de cómo usar un depurador usted mismo manualmente
1). Qué es
Themida Themida es un software diseñado específicamente para ayudar a que el

software se mantenga mejor protegido frente a grietas y / o el robo de su código
fuente.
Si alguien viene y puede leer el código que escribió para su software, si no ha creado
el software de código abierto y no desea que alguien le dé y / o lea el código, ¿le
alegraría que haya encontrado un software? forma de leer su código fuente? No creo
que lo harías.
El propósito de Themida es ayudar a evitar que el software protegido se vuelva

vulnerable a los intentos de ingeniería inversa. También puede ayudar contra la
piratería.
2). Un poco sobre cómo funciona
file:///D:/Users/Juan C. Lara/Desktop/UNPACK TEMIDA WINLICENSE/How Unpack Themida 2.x.x (WXP) - ZenHAX.htm 1/19
3/8/2021 Cómo desempaquetar Themida 2.xx (WXP) - ZenHAX
Themida Themida empaquetará el ejecutable. Cuando ejecute la muestra

empaquetada, descomprimirá el ejecutable en la memoria y lo usará para continuar
con la ejecución para realizar y hacer lo que se supone que debe hacer. Si el
desempaquetado del ejecutable empaquetado en la memoria falla por cualquier
motivo, entonces el programa no funcionará.
3). Por qué los empaquetadores se pueden usar en software legítimo Los
empacadores se pueden usar en software legítimo para que el software del

desarrollador esté mejor protegido contra ataques. Si alguien puede leer su código o
usar el Desmontaje para comprender cómo funciona, puede intentar encontrar
vulnerabilidades y luego usarlas para crear exploits de día cero.
Los empacadores también son bastante frecuentes con el malware. Su producto

antivirus puede detectar detecciones de software empaquetado de una determinada
manera / tipo de empaquetador utilizado.
4). Por qué es útil desempaquetar en Malware Analysis
Si la muestra está empaquetada, esto esencialmente protege contra el Desmontaje.

No podremos entender cómo funciona el programa, solo estaremos leyendo las
instrucciones del envoltorio del empaquetador. Por ejemplo, el proceso de
desembalaje. Sin embargo, queremos el ejecutable original (ejecutable
descomprimido) y deseamos realizar el Desmontaje con ese ejecutable para poder
tratar de entender y entender cómo funciona el programa para saber si es malicioso o
no.
5). Cómo podemos identificar y descomprimir los ejecutables empaquetados de

Themida
Para comenzar, necesitará algunas cosas:
Herramientas
ProtectionID
6.6.7 OllyDBG 1.10
Complementos de OllyDBG
ODBGScript v1.82.6
StrongOD 0.4.8.892
PhantOm 1.79
ARImpRec.dll
Texto
Themida - Winlicense Ultra Unpacker 1.4
Ok, lo primero que debemos hacer es establecer la ruta en el Themida - Winlicense

Ultra Unpacker 1.4.txt para su "ARImpRec.dl", así que abrimos el txt con el bloc de
notas y lo buscamos.
Cita:
HERE_ENTER_YOUR_DLL_PATH_TO_ARIMPREC_DLL:
mov ARIMPREC_PATH, "C: \ Documents and Settings \ Admin \ Desktop \ OllyDBG \

plugin \ ARImpRec.dll"
Abra ProtectionID y como puede ver el primer ícono como un papel con un lápiz,
presione allí y suelte su ejecutable. Debe procesar la información (si puede). Como
podemos ver en la siguiente captura de pantalla, detecta el empaque de Themida:
Ok, después de comprobar que desempaquetamos ollydbg en la ruta que queremos, un

ejemplo mío está en Desktop: C: \ Documents and Settings \ Admin \ Desktop \ OllyDBG
.
Así que ahora crearemos dentro de la carpeta ollydbg una carpeta llamada plugin y
dentro extraemos todos los plugins que descargamos, así que esto debe verse así.
PD: elimine PSAPI.DLL de la carpeta principal de OllyDBG.
Ok, ahora estamos listos para comenzar.
1. La primera vez que abrimos Olly necesitamos configurar el directorio del

complemento porque no está configurado, para hacerlo vamos a -> Opción-Apariencia,
en la pestaña Directorios podemos configurar donde almacenamos los complementos,
así que hazlo, presiona ok y reinicia Olly.
Entonces, la próxima vez que abramos Olly, veremos los complementos cargados.
3. Ok, ahora vamos a abrir el objetivo para descomprimir o simplemente presionamos

F3, después de abrir nos aparece una ventana emergente, solo presionamos Sí y el
archivo continúa Analizando, solo espera a terminar.
4.Ahora presione F9 para ejecutarlo y, como puede ver, aparece una ventana
emergente, no se preocupe, solo presione ok y la depuración finaliza.
5. Bueno, el siguiente paso es ejecutar el script, así que para esto podemos hacerlo a
través del menú de complementos-ODBGScript-Run Script y buscamos la descarga de
"Themida - Winlicense Ultra Unpacker 1.4.txt" antes.
6.Ok, después de cargar, no pasa nada porque terminamos la depuración antes, así que
lo que tenemos que hacer es volver a abrir el objetivo, solo presione la X para cerrar
el objetivo.
7.Después de reabrir el script de ejecución de destino nuevamente o si aparece esta

ventana emergente solicitando comenzar el proceso de desempaquetado, presionamos
Sí.
Ok, el siguiente presionamos No.
Así que ahora el proceso de desempaquetado ha comenzado, podemos verificar el

estado en la barra hacia abajo como el lado derecho de la pantalla, después de unos
segundos, tenemos una pausa, ahora para reanudar y continuar desempaquetando
maximizar las ventanas del hilo principal y presionar haga clic derecho y vaya a ->
Funciones de secuencia de comandos-Ventanas de secuencia de comandos, por lo que
ahora tenemos una Ventana de secuencia de comandos abierta, haga clic derecho allí y
presione Reanudar.
8. Así que ahora tenemos una ventana emergente que nos dice que necesitamos
modificar algunos valores en "ollydbg.ini", después de eso necesitamos reiniciar Olly y
reanudar el script.
9. Así que ahora repetimos los pasos que hicimos antes, abrimos el objetivo y
ejecutamos el script, etc., después de terminar, obtuvimos esto al final.
PD: recuerde cerrar OllyDBG después de abrir .ini.
10. Ok presionamos Yes y en la Ejecución de Script presionamos click derecho y

Reanudar.
11. Bien, ahora esta parte es muy importante, si estamos ejecutando un VMWare,
necesitamos configurar Sí, si estamos ejecutando normalmente, así que simplemente
presione No.
12. Ahora tenemos otra ventana emergente, realmente en mi caso selecciono Moddern
Scan no Simple, utiliza más controles.
13. Ok, en este seleccionamos No.
14. Ok, después de terminar obtuvimos un nuevo pop, allí presiono Yes.
15. Finalmente, el trabajo está hecho, como puede ver allí, ahora podemos ver el
archivo volcado, por lo que presionamos Sí para usar estos datos.
16. Como dice el script, elegimos la primera vez que no, si tenemos algún problema
después de presionar no, repetimos el proceso y la próxima vez solo presionamos Sí,
por si acaso.
17. Ok, esta ventana emergente pide comprimir el archivo volcado, pero en este caso
no lo haremos porque es de buen tamaño, no es un archivo de 120MB o 200MB, así que
creo que está bien presione No.
18. Ok después de todo esto finalmente hemos volcado el archivo en la carpeta donde
se almacena el exe.
Presiona ok y terminamos.
PD: Ok, espero que esta guía nos ayude a desempacar en el futuro tus protecciones de
themida, así que diviértete y lo siento si mi inglés es demasiado malo.
Créditos: LCF-AT, Nacho_dj y yo por escribir esta guía.
Descarga: http: // REMOVED_VIRUS http://www.mediafire.com REMOVED_VIRUS

/file/1xvqcqguxfci99i/odbg110.7z
Last edited by CriticalError on Sun Oct 16, 2016 5:02 pm, edited 3 times in total.
Top

aluigi Post subject: Re: How Unpack Themida 2.x.x Posted: Thu Jun 18, 2015 9:01 am
Site Admin
I guess you want to use the IMG tag:
Code:
Joined: Wed Jul 30, 2014
[img]http://...[/img]
9:32 pm
Posts: 12333
Top

CriticalError Post subject: Re: How Unpack Themida 2.x.x Posted: Thu Jun 18, 2015 12:26 pm
aluigi wrote:
I guess you want to use the IMG tag:
Code:
[img]http://...[/img]
Joined: Thu Aug 14, 2014

8:52 pm
Posts: 203 I
do in this way because you have a restriction with pictures up of 1024 pixels, so thats
the problem, if you can change it I modify my post.
Top

aluigi Post subject: Re: How Unpack Themida 2.x.x Posted: Thu Jun 18, 2015 12:38 pm
Site Admin The reason I added that limit was because, month ago, in every thread you added huge
(and useless for the purpose of the forum) images of the games.
P.S.: I have just removed the limit.

Joined: Wed Jul 30, 2014
9:32 pm
Posts: 12333
Top

cra0 Post subject: Re: How Unpack Themida 2.x.x Posted: Mon Jul 13, 2015 6:01 am
Great tutorial but I packed a file I made myself with Themdia 2.3 and this failed to
work. The executable would just crash, ill do some experiments and get back to you.
Good job however taking your time to write this up sir!
_________________
Devblog
Joined: Fri Aug 08, 2014
12:51 am
Posts: 17
Top

CriticalError Post subject: Re: How Unpack Themida 2.x.x Posted: Mon Jul 13, 2015 5:24 pm
cra0 wrote:
Great
tutorial but I packed a file I made myself with Themdia 2.3 and this failed to
work. The executable would just crash, ill do some experiments
and get back to
you.
you can leave here or give me exe or dll you try unpack and I try myself.
8:52 pm
Posts: 203
Top

cra0 Post subject: Re: How Unpack Themida 2.x.x Posted: Tue Jul 14, 2015 3:54 am
CriticalError wrote:
cra0 wrote:
Great
tutorial but I packed a file I made myself with Themdia 2.3 and this
Joined: Fri Aug 08, 2014
failed to work. The executable would just crash, ill do some experiments
and
12:51 am get back to you.
Posts: 17
you can leave here or give me exe or dll you try unpack and I try myself.
do you have skype/steam?
_________________
Devblog
Top

Stylo Post subject: Re: How Unpack Themida 2.x.x Posted: Tue Sep 22, 2015 1:03 pm
Hi,
Joined: Tue Sep 22, 2015 I'm sorry for the late reply, But when I'm done with all the steps mentioned and getting
1:01 pm
Posts: 3 to the part where
it should dump the unpacked file to disk I get a message says that
the dumping failed and I should manually dump it by myself.
How'd I manually dump the unpacked file?
Thanks
Top

CriticalError Post subject: Re: How Unpack Themida 2.x.x Posted: Tue Sep 22, 2015 2:04 pm
ummm well what target you trying unpack, maybe you can upload here and I try
unpack myself to chekc what happen.

8:52 pm
Posts: 203
Top

Well, Protection ID says it's version between v2.0.1.0 to v2.1.8.0 (or newer).
Joined: Tue Sep 22, 2015 Is there any way to get more specific version of themida?
1:01 pm
Posts: 3 the file is BlackCipher.aes ( from MS directory )
Top
CriticalError Post subject: Re: How Unpack Themida 2.x.x Posted: Tue Sep 22, 2015 3:04 pm
well exit another tool called Exeinfo PE, you can check with them too, but anyway
upload target here and I try unpack here.

8:52 pm
Posts: 203
Top

Check your inbox, I sent you the file in private.
Joined: Tue Sep 22, 2015 Thanks

1:01 pm
Posts: 3
Top

huyhuan1213 Post subject: Re: How Unpack Themida 2.x.x Posted: Sat Sep 26, 2015 3:33 am
Hi you.
Joined: Sat Sep 26, 2015 I did according to your instructions. But I cant unpack it.... You can unpack to help me.
3:26 am
Posts: 5 Or can support me unpack it.
Thank you very much
EMAIL: huyhuan1213@gmail.com
Attachments:
File comment: I check by RDG.Packer.Detector.v0.7.4.2014 => Themida 2.x.x
Tool.rar [1.89 MiB]
Downloaded 1756 times
Top

CriticalError Post subject: Re: How Unpack Themida 2.x.x Posted: Sat Sep 26, 2015 1:54 pm
I need full binaries to unpack it, because in the process when unpacking it, it ask for
dll called opencv_core242.dll and you only upload a exe.

8:52 pm
Posts: 203
Top

huyhuan1213 Post subject: Re: How Unpack Themida 2.x.x Posted: Sat Sep 26, 2015 3:39 pm
Thank you very much.
Joined: Sat Sep 26, 2015

3:26 am
Posts: 5 It's full soft. http://www.mediafire.com/download/3cvrw ... a/Tool.rar
Please help me unpack it!
Top

CriticalError Post subject: Re: How Unpack Themida 2.x.x Posted: Sat Sep 26, 2015 3:55 pm
well no idea what problem you got in the process, but here all be fine, anyway here is
unpacked file.
https://dailyuploads.net/zb8wa1dnjot8

8:52 pm
Posts: 203
Top

huyhuan1213 Post subject: Re: How Unpack Themida 2.x.x Posted: Sun Sep 27, 2015 12:55 am
Thank you very much!!!
Joined: Sat Sep 26, 2015 But can i ask you a question?
3:26 am
Posts: 5 Do you unpack it by your way or another way? If you have free time, can you make a
video decribe the steps you unpack it?
I want to learn how to unpack the software....
Thank you and have a nice day!
Top

huyhuan1213 Post subject: Re: How Unpack Themida 2.x.x Posted: Sun Sep 27, 2015 9:51 am
Thank you
Joined: Sat Sep 26, 2015
3:26 am
Posts: 5
Top

huyhuan1213 Post subject: Re: How Unpack Themida 2.x.x Posted: Thu Oct 01, 2015 5:14 am
Joined: Sat Sep 26, 2015 CriticalError wrote:

3:26 am
Posts: 5 well no idea what problem you got in the process, but here all be fine, anyway
here is unpacked file.
https://dailyuploads.net/zb8wa1dnjot8
When I run soft. It's show error. The soft can not run!!!
Top
rickz Post subject: Re: How Unpack Themida 2.x.x Posted: Sat Oct 17, 2015 3:56 pm
Regards
Joined: Sat Oct 17, 2015

3:51 pm
Posts: 1 Thanks for such great tutorial
would someone check if posible unpacking this app with this method, please confirm
program name: process blocker
links:
hxxp://www.processblocker.com/downloads ... cker32.msi
hxxp://www.processblocker.com/downloads ... cker64.msi
i'm using 32bit, the process which looks protected is the main exe file: List Editor.exe
it's packed with Winlicense, don't know the version, but PEid reported petite 2.2 which
is not.
Please CriticalError , would you mind checking it...
My Best Reagrds
Top

Display posts from previous: All posts Sort by Post time Ascending Go
Página 1 de 7
[131 publicaciones] Ir a la página 1 2 3 4 5 … 7 Siguiente

Índice del tablero » Tutoriales Todas las horas son UTC
No puede publicar nuevos temas en este foro

No puede responder a temas en este foro
No puede editar sus publicaciones en este foro
No puede eliminar sus publicaciones en este foro
No puede publicar archivos adjuntos en este foro
Buscar: Vamos
Desarrollado por phpBB ® Forum Software © phpBB Limited

Idioma

Cómo Desempaquetar Themida 2.Xx (WXP) - ZenHAX

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Cómo Desempaquetar Themida 2.Xx (WXP) - ZenHAX

Cargado por

Copyright:

Formatos disponibles

3/8/2021 Cómo desempaquetar Themida 2.

Registrarse Iniciar sesión

Actualmente es mar 03 de agosto de 2021 1:21 am

Temas sin respuesta | Temas activos

Índice del tablero » Tutoriales Todas las horas son UTC

Asunto: Cómo desempaquetar Themida 2.xx (WXP)

Lo que aprenderá en este hilo:

Registrado: Thu Ago 14, - Qué es Themida

2014 8:52 pm - Un poco sobre cómo funciona Themida

- Por qué desempaquetar es útil para Malware Analysis

- Cómo puede desempaquetar Muestras empaquetadas por Themida sin requerir

Themida Themida es un software diseñado específicamente para ayudar a que el

El propósito de Themida es ayudar a evitar que el software protegido se vuelva

2). Un poco sobre cómo funciona

Themida Themida empaquetará el ejecutable. Cuando ejecute la muestra

empacadores se pueden usar en software legítimo para que el software del

Los empacadores también son bastante frecuentes con el malware. Su producto

4). Por qué es útil desempaquetar en Malware Analysis

Si la muestra está empaquetada, esto esencialmente protege contra el Desmontaje.

5). Cómo podemos identificar y descomprimir los ejecutables empaquetados de

Para comenzar, necesitará algunas cosas:

6.6.7 OllyDBG 1.10

Themida - Winlicense Ultra Unpacker 1.4

Ok, lo primero que debemos hacer es establecer la ruta en el Themida - Winlicense

mov ARIMPREC_PATH, "C: \ Documents and Settings \ Admin \ Desktop \ OllyDBG \

Ok, después de comprobar que desempaquetamos ollydbg en la ruta que queremos, un

PD: elimine PSAPI.DLL de la carpeta principal de OllyDBG.

Ok, ahora estamos listos para comenzar.

1. La primera vez que abrimos Olly necesitamos configurar el directorio del

3. Ok, ahora vamos a abrir el objetivo para descomprimir o simplemente presionamos

7.Después de reabrir el script de ejecución de destino nuevamente o si aparece esta

Ok, el siguiente presionamos No.

Así que ahora el proceso de desempaquetado ha comenzado, podemos verificar el

PD: recuerde cerrar OllyDBG después de abrir .ini.

10. Ok presionamos Yes y en la Ejecución de Script presionamos click derecho y

13. Ok, en este seleccionamos No.

Créditos: LCF-AT, Nacho_dj y yo por escribir esta guía.

Descarga: http: // REMOVED_VIRUS http://www.mediafire.com REMOVED_VIRUS

I guess you want to use the IMG tag:

I guess you want to use the IMG tag:

Joined: Thu Aug 14, 2014

P.S.: I have just removed the limit.

Good job however taking your time to write this up sir!

Good job however taking your time to write this up sir!

do you have skype/steam?

How'd I manually dump the unpacked file?

unpack myself to chekc what happen.

Joined: Thu Aug 14, 2014

Joined: Thu Aug 14, 2014

Check your inbox, I sent you the file in private.

Joined: Tue Sep 22, 2015 Thanks

Thank you very much

Tool.rar [1.89 MiB]

Downloaded 1756 times

Joined: Thu Aug 14, 2014

Thank you very much.

Joined: Sat Sep 26, 2015

Please help me unpack it!

Joined: Thu Aug 14, 2014

Thank you very much!!!

I want to learn how to unpack the software....

Thank you and have a nice day!