win32 packed themida что это
Этот обзор посвящен Themida (в прошлом X-Protector), одному из самых мощных и надежных протекторов Win32 приложений. Поскольку Themida совсем недавно понадобилась мне для одного из моих приложений, я решил написать по ней небольшой обзор. Заодно попросил автора ответить на некоторые интересующие меня вопросы. Думаю, ответы будут вам тоже интересны. Результаты этого небольшого интервью ищите в конце статьи.
Хочу обратить внимание, что статья написана на базе Themida версии 2.1.3.30, последней на дату написания данного обзора. В ней появилось несколько новых возможностей по части макросов. Демка двухлетней давности с на официального сайта, их лишена.
Базовая информация
Возможности автоматической защиты Themida
Технология CodeReplace
Технология CodeReplace извлекает части приложения, вставляет вместо них мусорный код, смешивает оригинальный код с кодом защиты и хранит его в другом месте приложения. При запуске участка кода, защищенного CodeReplace, после многочисленных проверок, он извлекается и расшифровывается. После выполнения опять заменяется мусором. Themida может сама проанализировать ваше приложение и выбрать кажущиеся ей подходящими для такой защиты функции. Но будет лучше, если вы сделаете это сами с помощью макросов (о них речь пойдет далее).
Виртуальная машина
Генерация шума позволяет смешивать производящие полезную работу инструкции с ничего не значащими для еще большего затруднения работы хакеру.
Как и в случае с CodeReplace, Themida может сама выбрать, какие функции внутри вашей программы защитить преобразованием в код для виртуальной машины. Но лучше сделать это самостоятельно (см. далее).
Прочее
Макросы Themida.
Макросы Themida – это последовательности байт, встраиваемые в приложение, которые никак не влияют на его работу до тех пор, пока вы не защитите приложение Themida. Они имеют для протектора специальное значение. Фактически, они информируют Themida о тонкостях внутренней структуры вашего кода, позволяя эффективнее защищать его.
Макросы имеют маркеры начала и конца, определяя объем исходного кода, к которому они применяются. Готовые макросы в SDK есть для ассемблера, C, D, Delphi и VisualBasic / Pure Basic. Но в принципе, их можно за две минуты переделать под любой язык, который поддерживает ассемблерные или просто байтовые вставки в код. Здесь я буду использовать Delphi синтаксис, который мне наиболее близок.
Макрос VM ограничивает область кода, который Themida должна виртуализировать (превратить в инструкции для виртуальной машины, настройки которой вы задаете в интерфейсе). Используется следующим образом:
В этот макрос рекомендуется заворачивать участки кода, алгоритм которых представляет особую секретность. Например, проверка ключа активации, расшифровка файлов данных, проверка наличия ключа защиты и так далее.
VM_WithLevel
Макрос во всем подобен макросу VM, но обеспечивает дополнительную защиту, увеличивая уровень виртуализации на заданную вами величину. Используется он также. Для указания требуемого уровня виртуализации придется отредактировать соответствующий *.inc файл в Delphi (см. комментарий в нем). Большое значение уровня виртуализации приведет к сильному раздуванию кода. При уровне 0, макрос ведет себя так же, как макрос VM.
Ограничения такие же, как и у макроса VM.
CodeReplace
Макрос помечает код для обработки технологией CodeReplace, о которой мы говорили выше. Используется так же, как и макрос VM.
Ограничения такие же, как и у макроса VM.
Encode
Макрос отмечает блок кода, который требуется зашифровать и расшифровывать исключительно перед исполнением, зашифровывая назад при выходе из блока. Используется также, как и макрос VM. Этот макрос обеспечивает более слабую защиту, чем макросы VM и CodeReplace, но код под ним работает намного быстрее.
Clear
Макрос отмечает блок кода, который будет удален из процесса после первого вызова. Этот макрос рекомендуется использовать для операций, которые ваша программа выполняет только один раз на запуск. Например, расчет сеансовых ключей для обмена данными или проверка наличия лицензионного ключа. Используется так же, как и макрос VM.
Unprotected
Помечает блок, который будет удален из приложения после защиты. Например, с его помощью можно сделать так, чтобы приложение сообщало, если оно не защищено. Используется также, как и все описанные макросы. Ограничений не имеет.
CheckProtection
В демонстрационной версии Themida этот макрос недоступен. Он используется для проверки корректности системы защиты приложения. Его использование лучше всего показать на примере, взятом из Themida SDK.
Вы определяете число (типа Integer/Cardinal), которое макрос должен вернуть в случае, если с защитой все в порядке. В этом примере 0x33333333. При наложении защиты ассемблерные инструкции push и pop будут удалены из программы. Вместо них будет вставлена сложная процедура проверки, которая вернет в указанной переменной (в нашем примере это StatusProtection) заданное вами число, только если не обнаружит нарушений защиты. В случае обнаружения нарушения системы безопасности, число будет случайным.
Разумеется, в реальной жизни так, как показано, использовать данный макрос нельзя. Самое простое – это взять любую, использующуюся в проекте важную константу, значение которой не слишком очевидно в контексте и заменить ее на переменную. Затем использовать данный макрос на этой новой переменной где-нибудь пораньше в коде. Если защиту снимут, значение этой константы / переменной окажется некорректным, что, скорее всего, приведет к краху приложения в самых неожиданных местах.
Внутри блока макроса не должно находиться ничего, кроме указанных ассемблерных инструкций.
CheckCodeIntegrity
В демонстрационной версии Themida этот макрос недоступен. Макрос очень похож на CheckProtection, просто работает с другой частью системы защиты. Его использование абсолютно аналогично.
CheckVirtualPC
В демонстрационной версии Themida этот макрос недоступен. Макрос похож на предыдущие два, но проверяет не наличие системы защиты, а запуск защищенного приложения под гипервизором вроде VirtualPC или VMWare. Его использование абсолютно аналогично. Разве что его стоит комбинировать с соответствующей галочкой в интерфейсе программы. Тогда в защищенном приложении при обнаружении запуска под гипервизором Themida выдаст предупреждение, а если под VirtualPC попытаются запустить вариант приложения со снятой частью защиты Themida, вас выручит макрос.
Небольшое интервью с Рафаэлем
LiveInternetLiveInternet
—Подписка по e-mail
—Поиск по дневнику
—Рубрики
—Метки
—Видео
—Музыка
—Статистика
Срочно. Стал жертвой Фемиды (Themida). Нужен совет.
Сегодня всё было как обычно. Решил начать день с проверки почты. Запустил The Bat, а в ответ тишина. Только вот такое окошко:
Текст сообщения: “file corrupted! This program has been manipulated and maybe it’s infected by a Virus or cracked. This file won’t work anymore.”
До почтовых ящиков не добраться. Да и писем, в которые я иногда заглядываю (вспомнить логин и пароль разных сервисов) не посмотришь.
За советом обратился к Google. Информации собирал буквально по крупицам.
Про Themida из Google – ничего не ясно
Themida – это мощная система защиты, разработанная для программных разработчиков, которые хотят защитить свои приложения против продвинутого обратного инжиниринга и взлома программ. Разработчикам не придется менять что-либо в своих кодах или в программировании, чтобы защитить свои приложения с помощью Themida.
Стал вспоминать что я делал с компьютером.
Больше никаких мыслей в голову не приходит.
Если кто-то сталкивался с этой программой – подскажите что делать.
Квартиры от застройщика: Квартиры в Израиле. Израиль познакомится.
А этот свой NOD 32 выкинь на помойку.
Уверяю, в день когда распространился конфикер, у нас в магазинах стоял лицензионный нод (3 магазина), свежеобновленный (я специально обновлял перед лечением зараженных машин), который был не в состоянии даже детектировать эту дрянь. Со злости был снесен и поставлен обновленный касперский, который с легкостью его вычистил конфикер и сообщил о существующих уязвимостях.
Пока у вас установлен аваст, вы в неведении. Увы, популярность и авторитет Аваст заработал только лишь благодаря грамотной рекламе, как и в случае с НОД32.
К тому же, антивирус, который спокойно позволяет ПО редактировать в реестре ключи в HKLM\software\microsoft\windows nt\current version\winlogon\userinit (к примеру) адекватным считаться не может. Касперский в этом случае эвристикой ловит процесс и выдает запрос на разрешение. Одно только это уже позволяет отловить неизвестные вирусные тела.
чертова Themida
ужасно, у кого есть лекарство для системы Themida® и как с ней боротся. мои сочуствия.
короче, я полностью пропатчил систему WinXP, после перезагрузки у меня обнаружилась такая система защиты по безопастности под кодовым названием Themida (http://oreans.com/), который после перегазрузки что-то постоянно проверяет и она очень мешает, не знаю что делать, пробывать полностью удалить, но после перезагруски, то что я делал, востанавливалось.
скрины сможете увидить
1. начальная загрузка Windows http://img92.imageshack.us/my.php?image=startwinxpar7.jpg
2. OS WinXp загрузился http://img206.imageshack.us/my.php?image=winxploadingxa6.jpg
3. В течение работы выскакие такая табличка http://img207.imageshack.us/my.php?image=timedemosk5.jpg
Хотелось бы услышать мнение профессионалов. заранее спасибо
скрины сможете увидить
1. начальная загрузка Windows http://img92.imageshack.us/my.php?image=startwinxpar7.jpg
2. OS WinXp загрузился http://img206.imageshack.us/my.php?image=winxploadingxa6.jpg
3. В течение работы выскакие такая табличка http://img207.imageshack.us/my.php?image=timedemosk5.jpg
Хотелось бы услышать мнение профессионалов. заранее спасибо
Win32/Packed.Themida.GZV
What is Win32/Packed.Themida.GZV infection?
In this short article you will locate about the interpretation of Win32/Packed.Themida.GZV and its adverse effect on your computer system. Such ransomware are a kind of malware that is clarified by on the internet scams to require paying the ransom by a sufferer.
It is better to prevent, than repair and repent!
Most of the cases, Win32/Packed.Themida.GZV ransomware will advise its sufferers to initiate funds transfer for the function of neutralizing the modifications that the Trojan infection has presented to the sufferer’s gadget.
Win32/Packed.Themida.GZV Summary
These alterations can be as complies with:
Similar behavior
Related domains
Win32/Packed.Themida.GZV
The most typical networks whereby Win32/Packed.Themida.GZV Ransomware Trojans are infused are:
As soon as the Trojan is effectively injected, it will either cipher the data on the target’s computer or prevent the device from functioning in a correct manner – while likewise putting a ransom note that mentions the need for the victims to impact the repayment for the purpose of decrypting the papers or bring back the data system back to the preliminary problem. In the majority of instances, the ransom money note will certainly show up when the customer restarts the PC after the system has actually currently been harmed.
Win32/Packed.Themida.GZV distribution channels.
In different edges of the world, Win32/Packed.Themida.GZV expands by leaps and bounds. Nonetheless, the ransom money notes as well as methods of obtaining the ransom money quantity may differ depending upon specific regional (regional) setups. The ransom money notes and also methods of obtaining the ransom money amount might vary depending on specific neighborhood (regional) setups.
Faulty signals about unlicensed software.
In specific locations, the Trojans frequently wrongfully report having found some unlicensed applications made it possible for on the target’s device. The alert then demands the user to pay the ransom.
Faulty declarations about prohibited material.
In nations where software program piracy is less preferred, this technique is not as effective for the cyber frauds. Alternatively, the Win32/Packed.Themida.GZV popup alert may falsely claim to be deriving from a law enforcement establishment as well as will certainly report having situated youngster pornography or various other illegal data on the device.
Win32/Packed.Themida.GZV popup alert may incorrectly claim to be deriving from a regulation enforcement establishment and will certainly report having located child pornography or other unlawful data on the device. The alert will likewise contain a requirement for the user to pay the ransom money.
Technical details
Win32/Packed.Themida.GZV also known as:
| GridinSoft | Trojan.Ransom.Gen |
| Bkav | W32.ThemidaPTN.Trojan |
| DrWeb | Trojan.Siggen9.15953 |
| FireEye | Generic.mg.990b4d168997fda5 |
| McAfee | Artemis!990B4D168997 |
| Cylance | Unsafe |
| AegisLab | Trojan.Win32.Dapato.b!c |
| K7AntiVirus | Trojan ( 00559ab31 ) |
| K7GW | Trojan ( 00559ab31 ) |
| Cybereason | malicious.b4dc64 |
| Symantec | Trojan.Gen.MBT |
| APEX | Malicious |
| Avast | Win32:Malware-gen |
| GData | Win32.Trojan.Ilgergop.K0YV1O |
| Kaspersky | HEUR:Trojan-Dropper.Win32.Dapato.vho |
| Alibaba | Packed:Win32/Themida.df0ef86a |
| NANO-Antivirus | Trojan.Win32.Dapato.hcznex |
| Tencent | Win32.Trojan.Agent.Hryp |
| Sophos | Mal/Generic-S |
| Comodo | Malware@#1quysxhr3gxbx |
| F-Secure | Heuristic.HEUR/AGEN.1038489 |
| Invincea | heuristic |
| McAfee-GW-Edition | BehavesLike.Win32.Ransom.vc |
| Ikarus | Trojan-Downloader.Win32.Autohk |
| Cyren | W32/Trojan.MKCW-3311 |
| MaxSecure | Trojan.Malware.300983.susgen |
| Avira | HEUR/AGEN.1038489 |
| Endgame | malicious (high confidence) |
| ZoneAlarm | HEUR:Trojan-Dropper.Win32.Dapato.vho |
| Microsoft | Trojan:Win32/Occamy.C |
| Acronis | suspicious |
| Malwarebytes | Trojan.Downloader.AHK.Themida |
| ESET-NOD32 | a variant of Win32/Packed.Themida.GZV |
| TrendMicro-HouseCall | TROJ_GEN.R002H07BR20 |
| Rising | Dropper.Dapato!8.2A2 (CLOUD) |
| SentinelOne | DFI – Malicious PE |
| eGambit | Unsafe.AI_Score_99% |
| Fortinet | W32/Themida.ASK!tr |
| AVG | Win32:Malware-gen |
| Paloalto | generic.ml |
| CrowdStrike | win/malicious_confidence_100% (W) |
| Qihoo-360 | Win32/Trojan.Dropper.fba |
How to remove Win32/Packed.Themida.GZV ransomware?
Unwanted application has ofter come with other viruses and spyware. This threats can steal account credentials, or crypt your documents for ransom.
Reasons why I would recommend GridinSoft https://howtofix.guide/gridinsoft-anti-malware/’> 1
Download GridinSoft Anti-Malware.
You can download GridinSoft Anti-Malware by clicking the button below:
CommFort
Антивирус NOD32: Win32/Packed.Themida
Антивирус NOD32: Win32/Packed.Themida
Сообщение VAR » 22:10, 17.10.2008
Re: Жалобы антивирусов на CommFort
Сообщение Seruy » 00:24, 18.10.2008
1. Пользователь сети.
Может у вас есть возможность отписать разработчикам НОД32 в России, чтож они ваше дело то губят и нам прирост народа убавляют. Чтоб тоже из баз убрали срабатывание.
Re: Жалобы антивирусов на CommFort
Написали разработчикам NOD32. Причем антивирус ругается не только на CommFort, но и на любое другое программное обеспечение упакованное с помощью Themida. Такого программного обеспечения очень много.
Работа антивирусных лабораторий в последнее время все больше разочаровывает.
Re: Жалобы антивирусов на CommFort
Сообщение wizard50 » 08:12, 18.10.2008
Re: Жалобы антивирусов на CommFort
Сообщение fixed » 12:12, 18.10.2008
Re: Жалобы антивирусов на CommFort
Сообщение ALFRED450 » 14:49, 18.10.2008
Re: Жалобы антивирусов на CommFort
Сообщение Dan4ik » 18:34, 18.10.2008
Re: Жалобы антивирусов на CommFort
Сообщение Ombudsman » 22:30, 18.10.2008
Re: Жалобы антивирусов на CommFort
Сообщение user545 » 04:20, 19.10.2008
Re: Жалобы антивирусов на CommFort
Вчера сотрудники NOD32 обещали решить проблему в тот же день, в субботу 18 октября.
Сегодня они сказали что раньше чем в понедельник точно проблему не решат.
Мы рекомендуем обращаться по вопросам ложного срабатывания в техническую поддержку производителя данного антивируса.
Контактные данные службы технической поддержки NOD32:
Телефон: 8-800-200-01-57
e-mail: support@esetnod32.ru
Кроме того, интерфейсом антивируса должна быть предусмотрена возможность занести ПО CommFort в список доверенных программ.
Также мы рекомендуем внимательно относиться к выбору антивирусного ПО и его правильной настройке. По нашим данным это не первый случай ложного срабатывания данного антивирусного продукта на любое программное обеспечение, защищенное с помощью Themida. Мы не советуем настраивать антивирус таким образом чтобы он удалял подозрительные с его точки зрения файлы без предупреждения.
Re: Антивирус NOD32: Win32/Packed.Themida
Сообщение fixed » 10:16, 19.10.2008
Re: Антивирус NOD32: Win32/Packed.Themida
Сообщение iMPoSsibLe » 17:30, 19.10.2008
Re: Антивирус NOD32: Win32/Packed.Themida
Сообщение nikitka » 11:54, 20.10.2008
[удалено как офтопик]
проблема действительно была и у нас, банально поставили клиент в список а-ля исключений и всё было в порядке.
Re: Антивирус NOD32: Win32/Packed.Themida
На самом деле в последнее время проблемы были и Антивирусом Касперского, и с Avast.
Но в этих 2х случаях базы сигнатур вирусов попадал только исполняемый файл CommFort client. Очень печально, что вирусные лаборатории допустили столь вопиющие ошибки. Впрочем, они достаточно оперативно исправлялись.