書き溜めたエントリなんだけど、これから更新する機会が減りそうなので進んだところまで一気にBlogに上げてしまうことにした。
願わくば、これをみて解析の道に入り込む人が増えることを。

もう4回目のエントリになるのか……

さて、Themidaのアンパックがどうにかできないものかと検索に検索を重ねること数日。
いくつかのWebサイトからヒントらしき物を見つける。
もちろん英語メインなので、適宜翻訳してだが。

加えて、割と最近(2009年入ってから)のThemidaのアンパッカーを見つける。
が、なにやらニーモニックの書いてあるtxtでどうやって使うのかわからない。

なおも情報収集を続ける。
と、Themidaのアンパック手順を解説しているページを発見。
大まかなニュアンスを汲み取りつつ翻訳にかける……

なるほど、あのわからなかったtxtは、ollydbgのプラグイン用のものだったのね。
そのページで解説していたPhantOmプラグインで、Themidaからデバッガの存在を隠すことにも成功。

準備が整ったところで、EHSvc.dll のアンパックを実行。
解説のページがexeを対象にしていてDLLとは若干手順が違ったものの、すんなりとアンパックに成功(したと思う)

同じ手順で、InphaseNXD.EXE もアンパックしなおしてみる。
あ、今度はゲームっぽいexeになった。

ここまでくれば、後は少しずつ条件をつぶしてやればいいはず。
久しぶりに希望が見えてきた。
が、チェックの方式を今ひとつ想像できないので、どこにブレークポイントしかければいいのかわからずに悩む。

ちなみに、2chのチートスレにアンパックのURLを張ってみた(2009/07/2)が反応がないのでしょんぼり。
自分と同じ位のレベルの人と情報交換したいんだけどなぁ……

というところで今回はここまで。

2009/10/01:コメントなしろじ

コメントを残す

メールアドレスが公開されることはありません。