脱壳过程中遇有几个疑问,想请教下各位:

1. themida 是否利用了驱动,所有断在api 入口后的断点都无效的.
2. themida 会把OEP 的开头一部分吃掉,放在壳里运行,这部分一直在堆栈里面
操作,进行复杂的跳转,要找到一句原始代码实在太难,有没有什么好办法可以快速恢复出oep 开头代码的?
3. dump 下来的exe 会发现有些函数是还是加密形式的,运行到那里是边解密边运行,并且是调用到动态壳中代码, 这部分代码如何处理恢复? 这个是不是用了sdk 后出现现象?
4. 如果看到加壳后文件中有个WinLicen section ,并且脱壳过程中如果不小心会弹出WinLicese 的报告 An Error has ocurred while loading imports,
是否说明这个文件也加了WinLicense 保护?

  另外,本人用import REc发现它会检测到, 跳过检查方法是打开import Rec
的option,勾上 mode Cloak ,不用重启就可以了.再被发现就再重新选上这个勾就可以了.
  
  import 部分当然不会被放过,所有的iat 部分都给指向了壳的代码, 所有call [xxx] 调用api 的部分被修改成了
nop
call fakeapiAddr 这种形式, 因为代码太多, 下面准备仔细研究好iat 处理部分再写代码patch 掉.
  暂时就这么多了, 希望大家都来说说意见拉...~~

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！