-
-
[求助]我今天开始研究Themida碰到第一个问题[高手快进]
-
发表于:
2005-11-18 15:25
4655
-
[求助]我今天开始研究Themida碰到第一个问题[高手快进]
大家好,我是个菜鸟
但是没办法啊
碰到了Themida我也要硬上
我是明知山有虎,偏向虎山行
(不要骂我啊,体谅一下)
另外我还相信水滴石穿 我想总有一天可以把Themida搞定
好了 废话少说
我用OD调试Themida 直接按F9 OD提示
“不知道任何在地址 00884831处饶过指令”
按F7单步调试 代码执行到
00871758 2985 C100C706 sub dword ptr ss:[ebp+6C700C1],eax
0087175E 5A pop edx
0087175F 81B5 ABB2C706 3>xor dword ptr ss:[ebp+6C7B2AB],2A7D83D
00871769 BA 6CC6F625 mov edx,25F6C66C
0087176E 56 push esi
0087176F 66:8BC1 mov ax,cx
00871772 5E pop esi
00871773 83E4 0F and esp,0F
00871776 66:8BC1 mov ax,cx
00871779 81EF 77F41423 sub edi,2314F477
0087177F 0B85 8117C706 or eax,dword ptr ss:[ebp+6C71781]
00871785 0B85 FD20C706 or eax,dword ptr ss:[ebp+6C720FD]
0087178B 61 popad
0087178C EB 1E jmp short Lin_test.008717AC
其中 00871773处将ESP给清空了
0087178B处出栈程序就终止了
请高手为我解答一下是怎么回事?
Themida是怎么检测到OD单步执行的?
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!