[求助]脱Themida/WinLicense V1.8.2.0壳问题--增加了详情-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] [求助]脱Themida/WinLicense V1.8.2.0壳问题--增加了详情 0.00雪花

发表于: 2010-4-12 14:54 2256

[旧帖] [求助]脱Themida/WinLicense V1.8.2.0壳问题--增加了详情 0.00雪花

yfdjwtlm

活跃值

2010-4-12 14:54

2256

运行okdodo大侠的Themida脚本,出现下面的错误

我隐藏了OD的

大家帮忙看看是什么问题啊

----------------------------------------
经 knightsoft 的帮助隐藏了OD之后又出现这个错误

已经忽略了所有异常的啊

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法

上传的附件：

01.jpg （15.55kb，292次下载）
02.jpg （44.45kb，292次下载）

收藏・1

免费・0

支持

分享

最新回复 (14)
knightsoft 雪币： 111 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 204 粉丝 0 关注私信	knightsoft 2 楼 OD被壳的ANTI代码检测到了. 建议使用OD隐藏插件避开ANTI,就不会有这样的提示了. 2010-4-12 21:45 0
knightsoft 雪币： 111 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 204 粉丝 0 关注私信	knightsoft 3 楼先罗列一些常用的OD插件出来用于参考： IDAFicator.dll：一个添加自定义工具的插件添加工具拦.dll：类似IDAFicator，但不会修改顺序 OD工具栏管理.dll：多出一个工具栏 IsDebug V1.4.dll：isdebugpresent 英文 OllyDump V2.21.dll：Ollydump英文 OllyHelper.dll：使Olly启用变慢 Bookmark.dll：书签(重复) ollydbg.ini：配置信息(包含界面的颜色等) AdvancedOlly.dll：这个插件不能省略(启动会失败)[使用了StrongOD.dll，则要关闭AdvancedOlly.dll的CTRL+G功能] PhantOm.dll：配合AdvancedOlly.dll使用，没它标题会变成“-”(两者选一) OD隐藏插件.dll：配合AdvancedOlly.dll使用，没它标题会变成“-”(两者选一) StrongOD.dll：功能强大的插件，包括隐藏OD(不修改标题)，配合PhantOm.dll进行设置。 HideDebugger.dll：插件StrongOD.dll和它不兼容，所以不使用它。 ollyperl.dll：出错 advancedolly.dll 变形壳出现“莫名其妙”的异常时候，按F9直接跑飞，不能到达INT3(后面有解决法) HideDebugger.dll 变形壳出现“莫名其妙”的异常时候，按F9直接跑飞，不能到达INT3 HideOD.dll 变形壳出现“莫名其妙”的异常时候，按F9直接跑飞，不能到达INT3 OD隐藏.dll 变形壳出现“莫名其妙”的异常时候，按F9直接跑飞，不能到达INT3 PuntosMagicos.dll：万能断点，插件运行需要msvbvm60.dll支持，否则提示“没有dll文件”；把msvbvm60.dll文件放到system32目录下，还不行的话注册下DLL文件。注册方法：在运行栏里输入类似“regsvr32.exe /s %C:\HEdit%\HEditSX.dll”的命令完成注册，regsvr32 /u取消注册。注册dll或者ocx利用regsvr32命令。 OD插件测试方法：把所有插件放入一个新目录中，单个依次放入插件目录，如果OD开启自动退出，说明刚放入的那个插件和其他插件或OD版本有冲突，这样可以管理好自己常用的OD插件。如果有插件方面不明白的可以问我。 ryo （看雪2004） QQ：6059586 2010-4-12 21:50 0
knightsoft 雪币： 111 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 204 粉丝 0 关注私信	knightsoft 4 楼我自己使用的OD版本flyODBG 1。10和常用插件列表，测试全部可正常使用。上传的附件： flyODBG.jpg （17.32kb，382次下载） OD常用插件.jpg （22.10kb，380次下载） 2010-4-12 21:58 0
yfdjwtlm 雪币： 212 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 18 粉丝 0 关注私信	yfdjwtlm 5 楼多谢楼上的帮忙我再试试看 2010-4-14 11:28 0
yfdjwtlm 雪币： 212 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 18 粉丝 0 关注私信	yfdjwtlm 6 楼增加了一些详情,麻烦大家帮忙看看 2010-4-15 16:44 0
knightsoft 雪币： 111 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 204 粉丝 0 关注私信	knightsoft 7 楼后面的那个提示是程序发现有单步调试中断,也就是另一种调试器检测方法.建议先用F7跟下看,或者使用CTRL+F7自动跟踪一下. 其实TMD要找到OEP很简单的,你在程序载入开始的时候看下堆栈.一般ESP是12FFC4,这时候可以用ESP定律找到OEP的.下硬件读中断在12FFC0,试着按F9,记住中断在硬件断点的次数,然后程序会开始运行.CTRL+F2重新载入,在程序运行之前的最后一次硬件中断清除硬件断点,然后ALT+M在CODE段401000处下内存读写中断,F9就到了OEP了.(这种方法纯属个人体会,难免有偏颇之处) 在进入OEP前最好不要用F8跟过SEH的CALL,那些CALL检测单步调试中断的,如果直接F8步过,就会出现程序运行错误的提示. 2010-4-15 17:20 0
wwwqfeng 雪币： 32 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	wwwqfeng 8 楼终于可以发表意见了 2010-4-15 17:21 0
knightsoft 雪币： 111 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 204 粉丝 0 关注私信	knightsoft 9 楼补充一下,过CALL的原则:短距离CALL调用的用F7步入,长距离的CALL调用的用F8步入,这样可以节省一些跟的时间,没必要在SEH海中间浪费太多的时间. 希望经常交流! (ryo 看雪2004 QQ:6059586) 2010-4-15 17:25 0
yfdjwtlm 雪币： 212 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 18 粉丝 0 关注私信	yfdjwtlm 10 楼多谢knightsoft的帮助我还要加强学习 2010-4-19 13:03 0
knightsoft 雪币： 111 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 204 粉丝 0 关注私信	knightsoft 11 楼突击学习了1个多星期,终于在脚本的帮助下顺利脱掉了Themida 2.0.7.0的壳.还原了Delphi程序的OEP代码. 还是多看下视频教程吧,很有益处的. 2010-4-21 05:16 0
rafaelcn 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 34 粉丝 0 关注私信	rafaelcn 12 楼 Themida 这个壳，能找到的相关资料不多啊 2010-4-21 16:17 0
knightsoft 雪币： 111 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 204 粉丝 0 关注私信	knightsoft 13 楼你在论坛搜索中填上Themida去搜，有好多的。 2010-4-22 02:52 0
webwizard 雪币： 29 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 310 粉丝 0 关注私信	webwizard 14 楼学习了。 2011-2-16 09:29 0
welcomeg 雪币： 130 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 11 回帖 124 粉丝 0 关注私信	welcomeg 15 楼学习了。 2012-4-22 01:00 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

返回

yfdjwtlm

发帖

回帖

RANK

他的文章

[求助]脱Themida/WinLicense V1.8.2.0壳问题--增加了详情 2257

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

//