Tài liệu UnPacking TheMida 1.x

Chúng ta tìm hiểu một chút về Packer này:
TheMida là một trình bảo vệ tiến bộ dành cho các ứng dụng Windows. Nó có những tính năng chống dump, chống debug rất pro, những thủ thuật bảo vệ bộ nhớ good good , và vân vân,
Tôi nghĩ nó có những cái mạnh nhất: (nhưng vẫn bị unpack hà hà).
1, Import Elimination (Sự loại bỏ các hàm API):
Nó (Quy trình Eliminating) định ra một vài đoạn (sections) trên bộ nhớ, sau đó tháo rời các hàm API và sao chép đến những đoạn đó.
Vì thế, chúng ta không thể chỉnh sửa sau quy trình Imports Elimination, và đối với chúng ta như vậy việc cần làm là ngăn chặn quy trình Eliminating.
2, Memory BreakPoints Detection:
Nó (Trình phát hiện các điểm ngắt phần mềm) tạo khoảng 20 tiểu trình (thread) mà sẽ phát hiện VIỆC ĐIỀU KHIỂN NGOẠI LỆ CỦA TRÌNH DEBUGGER (exception handling of Debugger) (dùng INT3 và Memory), và phát hiện sự thay đổi mã của chương trình.
Và khi bạn muốn đình chỉ hoạt động của nó, thì Tiểu trình chính (Main Thread) sẽ hoạt động không chính xác.
Công Cụ Cần thiết: OllyDbg 1.10, Hide+Invisible Dbg, LordPe, Imprec, Memory Manage.
Đối tượng thử nghiệm là : Themida 1.3.0.0 Unpackme (AntiDebug/dumper + Resource Encryption + Memory Guard Enabled + All Protection Enabled).