定位一下iat，然后再ImportRE中，填入输入表那栏，再修复

手动定位iat 地址。。。直接找。。

脚本过时了，请更换最新支持THEMIDA 2。0的新脚本。

推荐使用“Themida - Winlicense 1.x - 2.x Imports Fixer Edition 1.1 by SnD”的脚本，支持最新的THEMIDA版本。

0077D86D    68 43149F07     push 0x79F1443           //脚本执行完停在这里
0077D872  ^ E9 974CF7FF     jmp SAX8_5.006F250E

F7过掉这2行后下401000的内存断点，SHIFT+F9执行一下，应该可以到FOEP。

至于IAT的修复，依靠新版本的脚本来完成定位，在FOEP处分析偷取代码，还原后重新加载程序，修复IAT和真OEP处被偷取的代码后，重新定位EIP到真OEP，再DUMP。DUMP时需纠正内存镜象大小，纠正完成后完整转存，再修复IAT即可。

祝你好运！

这个不行,直接跑飞了~
软件更新了，连之前的那个也跑飞了~

修复IAT和真OEP处被偷取的代码后，重新定位EIP到真OEP，再DUMP
这个有相应的教程吗?

我推荐的这个脚本建议要修改下参数，不然可能有跑飞和被检测到OD的可能

在论坛里多找点THEMIDA和WINLICENSE的OEP修复文章看看，程序的编程语言不同，OEP处被偷取代码的修复方法也不同。步骤我上面已经说清楚了，就看对教程文章的理解和体会了。提醒一下，脚本一般停到FOEP处，这里已经是程序调用的第1个CALL里了，通过跟踪CALL调用的堆栈和寄存器来推断和分析之前被偷取的代码，找真OEP也需要技巧的。熟能生巧而已。

怎么在UNPACK上也看到一个一样的贴子哈，是楼主发的么？

那个不是我发的~不过我也有号在那~
就是看到那有人和我一样的问题，没人解决,就发来这里看看有没有帮忙解决.很谢谢你的解答,收获不少~再次感谢~

需要修改的参数有哪些?可以告知一下吗?谢谢~

call VAR
eval "STARTUP INFO BOX: \r\n\r\n******************** \r\n1 = YES 0 = NO \r\nEnabled! | Disabled!\r\n\r\n********************\r\n\r\n{A1} {version_check} \r\n\r\n{A2}             {UseVM} \r\n\r\n{A3}              {kill_dd} \r\n\r\n{A4}               {highv} \r\n\r\n{A5}      {PE_anti_dis} \r\n\r\n{A6}     {allocsize} \r\n\r\n******************** \r\n\r\n quosego & LCF-AT"

这是脚本里的参数代码，脚本里有详细的说明，你可以尝试关掉某个参数，看是否可以适应新版本的THEMIDA。

再次感谢你的指导~

脚本全禁了~照样跑飞~

我看了下程序，用脚本确实跟飞了，只能手动跟踪了。通过跟踪，确定了IAT地址内容和OEP处被偷取的代码，才算完全修复。

我找到的IAT部分数据地址：

0058E000  77DAE9F4  advapi32.RegCreateKeyExA
0058E004  77DCBB8D  advapi32.RegQueryValueA
0058E008  77DCBCF3  advapi32.RegCreateKeyA
0058E00C  77DAEAE7  advapi32.RegSetValueExA

........

0058E774  7633C1C1  comdlg32.ChooseFontA
0058E778  00000000
0058E77C  769E320F  ole32.OleUninitialize
0058E780  769E0905  ole32.CLSIDFromString
0058E784  769B1BE2  ole32.OleInitialize
0058E788  00000000

需要强调的是，有个函数被加密了，但跟踪后得到真实的函数名
0058E6A4  00775D8A  SAX8_5.00775D8A          其实被加密的是这个函数(wsprintfA)

按上面的地址内容为参考修复IAT成功！

但下内存断点进OEP时，遇到了伪指令，确实很费解，如下是我补的OEP代码，程序脱出来就知道是VC程序了，所以按VC程序的OEP头来修复。

00558F39 >  55                 push ebp
00558F3A    8BEC               mov ebp,esp

00558F3C    6A FF              push -1   
00558F3E    68 00375E00        push dumped_.005E36A8      
00558F43    68 64B85500        push dumped_.0055B864     
//上面这三个参数在堆栈里，看截图的堆栈窗部分黄色内容加上面的两行，呵呵

00558F48    64:A1 00000000     mov eax,dword ptr fs:[0]
00558F4E    50                 push eax
00558F4F    64:8925 00000000   mov dword ptr fs:[0],esp
00558F56    83EC 58            sub esp,58
00558F59    53                 push ebx

这上面的部分是被偷取的代码，下面是FOEP部分
00558F5A    56                 push esi
00558F5B    57                 push edi
00558F5C    8965 E8            mov dword ptr ss:[ebp-18],esp
00558F5F    90                 nop
00558F60    E8 15832B7C        call kernel32.GetVersion

补齐OEP处被偷取的代码，并重新定位EIP到00558F39，DUMP之。再修复IAT，完成。检测脱壳后程序可正常执行，收工了！

上传的附件：

• OEP.jpg （288.49kb，110次下载）