某WinLicense购票软件脚本脱壳-付费问答-看雪-安全社区|安全招聘|kanxue.com

4

[旧帖] 某WinLicense购票软件脚本脱壳 0.00雪花

发表于: 2014-1-11 22:59 3283

[旧帖] 某WinLicense购票软件脚本脱壳 0.00雪花

licthday

活跃值

2014-1-11 22:59

3283

又到年关了，天南地北的筒子们都开始想着拿着票子回家过年了，12306的网站依然半死不活地坚挺着，依然没有有效解决负载均衡和黄牛大量刷票，更是频出怪招阻挡广大人民的回家之路。

本来对我这窝在家里的宅男来说是不关我的事的，票确实难抢，但是大家基本都陆陆续续抢到了，无奈群里有一个二货运气背到极点，就是抢不到票。

正好前几天 LCF-AT 大牛放出了最新的脱壳脚本，就拿这个试一试，完全照着 LCF-AT 大牛的教程来的，各位路过的大牛看看就好。

先查壳 TMD/Winlicense 的壳

跑起来，procexp 看看，是 .net 的

上 OD，入口点典型的 Winlicense 2.1.xx
载入脚本（脚本保持默认选项，填好依赖 dll 的完整位置）
脚本跑起来，这里弹出窗口都直接确定（注意，这个脚本虽然说可以在 Win7 上跑，但是很诡异，有的程序可以，有的程序会跑飞，所以我特意装了 XP 来跑的）

到这里，脚本就跑完了，下面需要，F9跑起来，WinHex Dump内存，修复

这里选择主程序的内存，不过这里需要选择整个内存，确定

打开内存之后，直接另存为，Dump 出来。
将主程序之前的内存区域删除并保存。
因为主程序是第一个装入内存的，所以直接将第一个之前的删除就可以了，或者可以看到脱壳之后的主程序代码区段被修改成了 Tut4you，这个就是主程序的领空

打开修复工具，载入刚开的 Dump 文件并修复。

修复完成打开，初始化失败

打开 CFF Explorer，选择资源编辑器，LCF-AT 的教程里说的是删除 manifest，不过这里没有，但是要清理的其实是 overlay，所以 .net 资源不算，选择 version 部分，为了不丢失信息，这里保存之后再替换就可以清除了

不过这里打开之后依然初始化失败，拖到 ILSpy 里查看一下，代码全部都在，一切正常，应该是 pe 内容损坏了
这里我们利用 ilasm 重建文件，OK，正常运行了，搞定
后续的内容很简单，就不说了

最后希望出门在外的朋友都能回家过个好年

附上 LCF-AT 大牛的脚本，在教程里有详细的说明
Themida + WinLicense 2.x Ultra Unpacker v1.0
http://tuts4you.com/download.php?view.3525
Themida + WinLicense 2.x Ultra Unpacker v1.0 + Tutorial
http://tuts4you.com/download.php?view.3526

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

1.png （60.38kb，3次下载）
2.png （39.50kb，4次下载）
3.png （48.81kb，6次下载）
4.png （39.59kb，1次下载）
5.png （43.94kb，1次下载）
6.png （39.46kb，1次下载）
7.png （13.15kb，2次下载）
8.png （29.97kb，1次下载）
9.png （7.88kb，1次下载）
10.png （5.19kb，1次下载）
11.png （38.19kb，1次下载）
12.png （16.94kb，1次下载）
13.png （5.21kb，1次下载）
14.png （10.97kb，1次下载）
15.png （60.61kb，1次下载）
16.png （148.19kb，6次下载）

收藏・4

免费

支持

分享

最新回复 (5)
czgwyq 雪币： 37 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	czgwyq 2 楼还不错啊，比较牛。 2014-1-13 12:16 0
MarcoZhong 雪币： 220 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 41 粉丝 0 关注私信	MarcoZhong 3 楼膜拜楼主，给个脱壳后的抢票软件用用呗，需要抢票回家过年！ 2014-1-13 17:58 0
小小解密雪币： 36 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 8 粉丝 0 关注私信	小小解密 4 楼大牛，心蓝抢火车票这个版本比较好用，这个版本有没有破解的啊， 2014-1-13 18:17 0
renminbi 雪币： 327 活跃值： (1618) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 49 粉丝 0 关注私信	renminbi 5 楼真及时，用peid 0.95深度扫描得出asprotect v1.32 * 这个结果，看来是不对了，怪不得用什么脚本都脱不了，要用exeinfo pe来查壳了。 2014-1-13 19:38 0
釜森雪币： 255 活跃值： (562) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 104 粉丝 1 关注私信	釜森 6 楼我用去年的20130117版试了下,可以脱壳.有今年的2014年01月24日版吗?放出来练习一下呀!(带壳报毒,脱了就不会报了) 上传的附件： chepiaowuyouv5.rar （2.20MB，9次下载） 2014-1-29 11:12 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

返回

licthday

发帖

回帖

RANK

他的文章

某WinLicense购票软件脚本脱壳 3284

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区