[原创]脱壳手记---Themida（2.1.2.0）-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[原创]脱壳手记---Themida（2.1.2.0）

发表于: 2013-6-5 13:39 45183

[原创]脱壳手记---Themida（2.1.2.0）

qqmcc

2013-6-5 13:39

45183

【文章标题】:脱壳手记---Themida（2.1.2.0）
【文章作者】: qqmcc
【下载地址】: sayhello.rar

“衣带渐宽终不悔，为伊消得人憔悴”
------柳永《蝶恋花》
王国维先生曾以此比喻治学之第二境，我想以此与仍然苦苦挣扎在KSSD大教室的诸君共勉！
然则高版本的脱壳往往是建立在低版本之上，如果你对低版本已经有所了解可以忽略此处，如果需要了解可以看这里http://bbs.pediy.com/showthread.php?t=172921 或移步KSSD
好了，进入正题！
上OD先直接F9跑一次。
程序结束后，将堆栈往上拉发现（图1）：

有个返回到00401510，去反汇编窗口看看：

0040147E    8AD4            MOV DL,AH
00401480    8915 F4844000   MOV DWORD PTR DS:[4084F4],EDX
00401486    8BC8            MOV ECX,EAX
00401488    81E1 FF000000   AND ECX,0FF
0040148E    890D F0844000   MOV DWORD PTR DS:[4084F0],ECX
00401494    C1E1 08         SHL ECX,8
00401497    03CA            ADD ECX,EDX
00401499    890D EC844000   MOV DWORD PTR DS:[4084EC],ECX
0040149F    C1E8 10         SHR EAX,10
004014A2    A3 E8844000     MOV DWORD PTR DS:[4084E8],EAX
004014A7    6A 00           PUSH 0
004014A9    E8 A80A0000     CALL sayhello.00401F56
004014AE    59              POP ECX
004014AF    85C0            TEST EAX,EAX
004014B1    75 08           JNZ SHORT sayhello.004014BB
004014B3    6A 1C           PUSH 1C
004014B5    E8 9A000000     CALL sayhello.00401554
004014BA    59              POP ECX
004014BB    8365 FC 00      AND DWORD PTR SS:[EBP-4],0
004014BF    E8 72070000     CALL sayhello.00401C36
004014C4    E8 A0FA2E02     CALL 026F0F69
004014C9    90              NOP
004014CA    A3 F8894000     MOV DWORD PTR DS:[4089F8],EAX
004014CF    E8 30060000     CALL sayhello.00401B04
004014D4    A3 D0844000     MOV DWORD PTR DS:[4084D0],EAX
004014D9    E8 D9030000     CALL sayhello.004018B7
004014DE    E8 1B030000     CALL sayhello.004017FE
004014E3    E8 90000000     CALL sayhello.00401578
004014E8    A1 04854000     MOV EAX,DWORD PTR DS:[408504]
004014ED    A3 08854000     MOV DWORD PTR DS:[408508],EAX
004014F2    50              PUSH EAX
004014F3    FF35 FC844000   PUSH DWORD PTR DS:[4084FC]
004014F9    FF35 F8844000   PUSH DWORD PTR DS:[4084F8]
004014FF    E8 FCFAFFFF     CALL sayhello.00401000
00401504    83C4 0C         ADD ESP,0C
00401507    8945 E4         MOV DWORD PTR SS:[EBP-1C],EAX
0040150A    50              PUSH EAX
0040150B    E8 95000000     CALL sayhello.004015A5
00401510    8B45 EC         MOV EAX,DWORD PTR SS:[EBP-14]
00401513    8B08            MOV ECX,DWORD PTR DS:[EAX]
00401515    8B09            MOV ECX,DWORD PTR DS:[ECX]
00401517    894D E0         MOV DWORD PTR SS:[EBP-20],ECX
0040151A    50              PUSH EAX
0040151B    51              PUSH ECX
0040151C    E8 59010000     CALL sayhello.0040167A
00401521    59              POP ECX
00401522    59              POP ECX
00401523    C3              RETN

004487A0    8F02   POP DWORD PTR DS:[EDX]    ;

004C26F9    FF95 7A278906   CALL DWORD PTR SS:[EBP+689277A]

004BF68C    C785 2D1D8206 0>MOV DWORD PTR SS:[EBP+6821D2D],0
004BF696    C785 311B8206 0>MOV DWORD PTR SS:[EBP+6821B31],0
004BF6A0    83BD 00B48C06 0>CMP DWORD PTR SS:[EBP+68CB400],0

004BF6E3    83BD 21158206 6>CMP DWORD PTR SS:[EBP+6821521],64
004BF6EA    0F82 09010000   JB sayhello.004BF7F9    ;这里修改成jmp跳过校验

004BF893    3D EEEEEEEE     CMP EAX,EEEEEEEE
004BF898    0F85 AB000000   JNZ sayhello.004BF949
004BF89E    F5              CMC
004BF89F    813E DDDDDDDD   CMP DWORD PTR DS:[ESI],DDDDDDDD
004BF8A5    0F85 9E000000   JNZ sayhello.004BF949
004BF8AB    F8              CLC
004BF8AC    F8              CLC
004BF8AD    50              PUSH EAX
004BF8AE    B8 00000000     MOV EAX,0
004BF8B3    8906            MOV DWORD PTR DS:[ESI],EAX
004BF8B5    8B0424          MOV EAX,DWORD PTR SS:[ESP]
004BF8B8    83C4 04         ADD ESP,4
004BF8BB    E9 08000000     JMP sayhello.004BF8C8
004BF8C0    53              PUSH EBX
004BF8C1 F4              HLT                 ; 特权命令
004BF8C2    213D 7ADF2136   AND DWORD PTR DS:[3621DF7A],EDI
004BF8C8    52              PUSH EDX
004BF8C9    BA 04000000     MOV EDX,4
004BF8CE    81C6 5C04AE28   ADD ESI,28AE045C
004BF8D4    01D6            ADD ESI,EDX
004BF8D6    81EE 5C04AE28   SUB ESI,28AE045C
004BF8DC    5A              POP EDX
004BF8DD    E9 0F000000     JMP sayhello.004BF8F1

004BF85C    AD              LODS DWORD PTR DS:[ESI]

004BFC57    3B02            CMP EAX,DWORD PTR DS:[EDX]
004BFC59    0F84 6F000000   JE sayhello.004BFCCE             ;找到KEY跳出循环
004BFC5F    0F89 1E000000   JNS sayhello.004BFC83
004BFC65    60              PUSHAD
004BFC66    E8 14000000     CALL sayhello.004BFC7F
004BFC6B    AB              STOS DWORD PTR ES:[EDI]
004BFC6C    F2:             PREFIX REPNE:                                         ; 多余前缀
004BFC6D    93              XCHG EAX,EBX
004BFC6E    6B30 A8         IMUL ESI,DWORD PTR DS:[EAX],-58
004BFC71    B6 FD           MOV DH,0FD
004BFC73    D19E 2B586176   RCR DWORD PTR DS:[ESI+7661582B],1
004BFC79    B7 07           MOV BH,7
004BFC7B    05 CCF02A5A     ADD EAX,5A2AF0CC
004BFC80    60              PUSHAD
004BFC81    61              POPAD
004BFC82    61              POPAD
004BFC83    57              PUSH EDI
004BFC84    893424          MOV DWORD PTR SS:[ESP],ESI
004BFC87    BE 04000000     MOV ESI,4
004BFC8C    01F2            ADD EDX,ESI
004BFC8E    5E              POP ESI
004BFC8F    FC              CLD
004BFC90    52              PUSH EDX
004BFC91    BA 01000000     MOV EDX,1
004BFC96    01D1            ADD ECX,EDX
004BFC98    5A              POP EDX
004BFC99    F9              STC
004BFC9A    3B8D B8BF8B06   CMP ECX,DWORD PTR SS:[EBP+68BBFB8]
004BFCA0  ^ 0F85 B1FFFFFF   JNZ sayhello.004BFC57

004BFCCE    898D E11C8206   MOV DWORD PTR SS:[EBP+6821CE1],ECX

004BFED7    01C8            ADD EAX,ECX
004BFED9    2D 190F5568     SUB EAX,68550F19

登录后可查看完整内容

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

上传的附件：

image002.jpg （15.04kb，26次下载）
image004.jpg （26.37kb，12次下载）
image006.jpg （20.11kb，7次下载）
image008.jpg （14.93kb，7次下载）
image010.jpg （6.83kb，7次下载）
image012.jpg （53.46kb，5次下载）
image014.jpg （11.59kb，5次下载）
image016.jpg （53.19kb，5次下载）
image018.jpg （35.00kb，6次下载）
sayhello.rar （623.65kb，742次下载）

收藏・58

免费・5

支持

最新回复 (24)
fatecaster 雪币： 135 活跃值： (63) 能力值： ( LV5，RANK：60 ) 在线值：发帖 39 回帖 314 粉丝 0 关注私信	fatecaster 1 2 楼 mark很不错的教学贴，学习。 2013-6-5 13:58 0
pxhb 雪币： 6535 活跃值： (4491) 能力值： ( LV7，RANK：110 ) 在线值：发帖 10 回帖 421 粉丝 20 关注私信	pxhb 2 3 楼感谢分享，来学习下 2013-6-5 14:04 0
不bui 雪币： 113 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 78 粉丝 0 关注私信	不bui 4 楼马克一下~~~ 2013-6-5 15:57 0
透明色雪币： 143 活跃值： (263) 能力值： ( LV8，RANK：120 ) 在线值：发帖 12 回帖 242 粉丝 8 关注私信	透明色 2 5 楼写的很详细，谢谢分享 2013-6-5 16:41 0
kanxue 雪币： 47147 活跃值： (20405) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 539 关注私信	kanxue 8 6 楼感谢分享！ 2013-6-5 21:09 0
jstqyymwy 雪币： 941 活跃值： (1264) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 72 粉丝 0 关注私信	jstqyymwy 7 楼前排占位，学习了，谢谢 2013-6-6 01:42 0
zyicai 雪币： 437 活跃值： (78) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 194 粉丝 0 关注私信	zyicai 8 楼正在脱一个Themida 1.8.x.x - 1.9.x.x壳，可是加载到od，od就提示应用程序异常，楼主大牛见过没 2013-6-6 09:46 0
zyicai 雪币： 437 活跃值： (78) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 194 粉丝 0 关注私信	zyicai 9 楼这个是原件系统管理.rar，谢谢了上传的附件：系统管理.rar （1.87MB，161次下载） 2013-6-6 09:58 0
qqmcc 雪币： 143 活跃值： (108) 能力值： ( LV9，RANK：140 ) 在线值：发帖 4 回帖 20 粉丝 4 关注私信	qqmcc 3 10 楼坛主言重了！如果没有KSSD我是写不出这篇文章的。KSSD给我这样没有时间和精力去培训的人一个系统的学习途径，这算是一个阶段性笔记，权且抛砖引玉吧！不过话说回来，作为新手发帖得到精华还是挺让人激动的呵呵~ 2013-6-6 11:30 0
qqmcc 雪币： 143 活跃值： (108) 能力值： ( LV9，RANK：140 ) 在线值：发帖 4 回帖 20 粉丝 4 关注私信	qqmcc 3 11 楼应该是OD没有设置好，好好利用一下StrongOD插件(这个是要感谢一下海风月影大牛的)。你的原件我暂时无法下载下来。 PS:大牛真的不敢当我的机器上StrongOD: 然后phant0m插件全开就可以调试你这个软件了上传的附件： strongod.jpg （32.13kb，14次下载） 2013-6-6 11:33 0
zyicai 雪币： 437 活跃值： (78) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 194 粉丝 0 关注私信	zyicai 12 楼看来我还得使劲研究研究，我太菜了，StrongOD很厉害，我用脚本运行，结果还是被拦截了 2013-6-6 11:55 0
peterchen 雪币： 335 活跃值： (263) 能力值： ( LV2，RANK：10 ) 在线值：发帖 43 回帖 203 粉丝 0 关注私信	peterchen 13 楼很久没有看到这样详细纯技术帖子 2013-6-6 14:34 0
mmbbcc 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	mmbbcc 14 楼学习了，谢谢分享。 2013-6-7 10:53 0
swlilike 雪币： 89 活跃值： (53) 能力值： ( LV2，RANK：10 ) 在线值：发帖 50 回帖 365 粉丝 1 关注私信	swlilike 15 楼 2004年的ID，比我还早，而且没有精华。咱俩一样哦。 2013-6-7 13:30 0
asdli 雪币： 81 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 161 粉丝 0 关注私信	asdli 16 楼感谢分享，来学习下 2013-6-7 20:51 0
蓬莱草莽雪币： 16 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	蓬莱草莽 17 楼好久没看脱壳分析了，顶一个 2013-6-9 13:34 0
HookA 雪币： 20 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 12 粉丝 0 关注私信	HookA 18 楼好贴。技术性强 2013-6-23 23:00 0
kbs 雪币： 426 活跃值： (21) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 75 粉丝 0 关注私信	kbs 19 楼 mark 2013-7-21 22:33 0
hxdong 雪币： 313 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 51 粉丝 0 关注私信	hxdong 20 楼谢谢分享 2013-7-25 00:16 0
Stimulants 雪币： 23 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 17 粉丝 0 关注私信	Stimulants 21 楼写的灰常棒谢谢分享 2013-7-30 23:52 0
杨开银雪币： 9 活跃值： (339) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 166 粉丝 0 关注私信	杨开银 22 楼木有SDK VM 汗上传的附件： unpacked bu kGe.7z （1.14MB，30次下载） 11.jpg （31.26kb，4次下载） 2.jpg （21.01kb，6次下载） 2013-10-12 18:30 0
codelive 雪币： 200 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	codelive 23 楼好强大，感谢分享。 2014-8-20 21:52 0
小雄性事雪币： 4 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 23 粉丝 0 关注私信	小雄性事 24 楼 mark 2014-9-9 20:37 0
babyrobin 雪币： 211 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 94 粉丝 1 关注私信	babyrobin 25 楼好帖信息: 好帖 2014-9-14 08:04 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

qqmcc

发帖

回帖

140

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (24)
fatecaster 雪币： 135 活跃值： (63) 能力值： ( LV5，RANK：60 ) 在线值：发帖 39 回帖 314 粉丝 0 关注私信	fatecaster 1 2 楼 mark很不错的教学贴，学习。 2013-6-5 13:58 0
pxhb 雪币： 6535 活跃值： (4491) 能力值： ( LV7，RANK：110 ) 在线值：发帖 10 回帖 421 粉丝 20 关注私信	pxhb 2 3 楼感谢分享，来学习下 2013-6-5 14:04 0
不bui 雪币： 113 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 78 粉丝 0 关注私信	不bui 4 楼马克一下~~~ 2013-6-5 15:57 0
透明色雪币： 143 活跃值： (263) 能力值： ( LV8，RANK：120 ) 在线值：发帖 12 回帖 242 粉丝 8 关注私信	透明色 2 5 楼写的很详细，谢谢分享 2013-6-5 16:41 0
kanxue 雪币： 47147 活跃值： (20405) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 539 关注私信	kanxue 8 6 楼感谢分享！ 2013-6-5 21:09 0
jstqyymwy 雪币： 941 活跃值： (1264) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 72 粉丝 0 关注私信	jstqyymwy 7 楼前排占位，学习了，谢谢 2013-6-6 01:42 0
zyicai 雪币： 437 活跃值： (78) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 194 粉丝 0 关注私信	zyicai 8 楼正在脱一个Themida 1.8.x.x - 1.9.x.x壳，可是加载到od，od就提示应用程序异常，楼主大牛见过没 2013-6-6 09:46 0
zyicai 雪币： 437 活跃值： (78) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 194 粉丝 0 关注私信	zyicai 9 楼这个是原件系统管理.rar，谢谢了上传的附件：系统管理.rar （1.87MB，161次下载） 2013-6-6 09:58 0
qqmcc 雪币： 143 活跃值： (108) 能力值： ( LV9，RANK：140 ) 在线值：发帖 4 回帖 20 粉丝 4 关注私信	qqmcc 3 10 楼坛主言重了！如果没有KSSD我是写不出这篇文章的。KSSD给我这样没有时间和精力去培训的人一个系统的学习途径，这算是一个阶段性笔记，权且抛砖引玉吧！不过话说回来，作为新手发帖得到精华还是挺让人激动的呵呵~ 2013-6-6 11:30 0
qqmcc 雪币： 143 活跃值： (108) 能力值： ( LV9，RANK：140 ) 在线值：发帖 4 回帖 20 粉丝 4 关注私信	qqmcc 3 11 楼应该是OD没有设置好，好好利用一下StrongOD插件(这个是要感谢一下海风月影大牛的)。你的原件我暂时无法下载下来。 PS:大牛真的不敢当我的机器上StrongOD: 然后phant0m插件全开就可以调试你这个软件了上传的附件： strongod.jpg （32.13kb，14次下载） 2013-6-6 11:33 0
zyicai 雪币： 437 活跃值： (78) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 194 粉丝 0 关注私信	zyicai 12 楼看来我还得使劲研究研究，我太菜了，StrongOD很厉害，我用脚本运行，结果还是被拦截了 2013-6-6 11:55 0
peterchen 雪币： 335 活跃值： (263) 能力值： ( LV2，RANK：10 ) 在线值：发帖 43 回帖 203 粉丝 0 关注私信	peterchen 13 楼很久没有看到这样详细纯技术帖子 2013-6-6 14:34 0
mmbbcc 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	mmbbcc 14 楼学习了，谢谢分享。 2013-6-7 10:53 0
swlilike 雪币： 89 活跃值： (53) 能力值： ( LV2，RANK：10 ) 在线值：发帖 50 回帖 365 粉丝 1 关注私信	swlilike 15 楼 2004年的ID，比我还早，而且没有精华。咱俩一样哦。 2013-6-7 13:30 0
asdli 雪币： 81 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 161 粉丝 0 关注私信	asdli 16 楼感谢分享，来学习下 2013-6-7 20:51 0
蓬莱草莽雪币： 16 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	蓬莱草莽 17 楼好久没看脱壳分析了，顶一个 2013-6-9 13:34 0
HookA 雪币： 20 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 12 粉丝 0 关注私信	HookA 18 楼好贴。技术性强 2013-6-23 23:00 0
kbs 雪币： 426 活跃值： (21) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 75 粉丝 0 关注私信	kbs 19 楼 mark 2013-7-21 22:33 0
hxdong 雪币： 313 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 51 粉丝 0 关注私信	hxdong 20 楼谢谢分享 2013-7-25 00:16 0
Stimulants 雪币： 23 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 17 粉丝 0 关注私信	Stimulants 21 楼写的灰常棒谢谢分享 2013-7-30 23:52 0
杨开银雪币： 9 活跃值： (339) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 166 粉丝 0 关注私信	杨开银 22 楼木有SDK VM 汗上传的附件： unpacked bu kGe.7z （1.14MB，30次下载） 11.jpg （31.26kb，4次下载） 2.jpg （21.01kb，6次下载） 2013-10-12 18:30 0
codelive 雪币： 200 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	codelive 23 楼好强大，感谢分享。 2014-8-20 21:52 0
小雄性事雪币： 4 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 23 粉丝 0 关注私信	小雄性事 24 楼 mark 2014-9-9 20:37 0
babyrobin 雪币： 211 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 94 粉丝 1 关注私信	babyrobin 25 楼好帖信息: 好帖 2014-9-14 08:04 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复