Themida/2.0-2.4.6을 진행해 보았습니다, 패킹되는 Themida의 원리와 Unpack되는 원리는 정확하게 파악 하지 못 했지만.. UnPack에 의의를 두었습니다..
사용 도구 & 환경
OllyDbg-v1.10 / StrongOD v0.4.8.892 / PhantOm v1.85 / ODBGScript v1.82.6 / ARImpRec.dll
Windows7(32bit) / Winlicense Ultra Unpacker Script
Step1) ***.exe를 ExeInfo로 확인 시 Themida/2.0-2.4.6으로 Packing된 것을 확인할 수 있습니다.
Step2) ***.exe를 IDA로 Load합니다.
Step3) ***.exe를 IDA로 Load 시 Themida/2.0-2.4.6으로 Packing 되어 함수가 정상 Load 되지 않는 것을 확인할 수 있습니다.
Step4) ***.exe를 OllyDBG로 Load합니다.
Step5) C:\OllyDbg 폴더 내 olldbg.ini 파일을 생성합니다.
Step6) OllDBG로 다시 돌아와 마우스 우클릭 후 “Run Script > Open”을 클릭합니다.
Step7.) 미리 준비된 “Themida-Unpacker-Script”를 Load합니다.
Step8) “Themida-Unpacker-Script”를 최초 Load 시 분석이 끝나면 Paused 상태가 됩니다.
Step9) Paused 상태에서 다시 마우스 우 클릭 후 Resume를 클릭합니다.
Step10) UnPack 중 Script 팝업 창 출력 시 “예”를 클릭합니다.
Step11) UnPack 완료 팝업 창이 출력되며, Packing 전/UnPack 후의 사이즈를 출력해주며 “확인”을 클릭합니다.
Step12) ***.exe 설치 폴더 확인 시 기존 “ ***.exe와 ***_DP.exe ”를 확인할 수 있습니다.
Step13) ***_DP.exe를 ExeInfo로 확인 시 Themida/2.0-2.4.6가 Unpack된 것을 확인할 수 있습니다.
Step14) ***_DP.exe를 IDA로 Load 시 Themida/2.0-2.4.6으로 UnPack 되어 함수가 정상 Load 되는 것을 확인할 수 있습니다.
※ 참조