.text:00015F13 000     mov HookFlag, 1  
.text:00015F1D 000     push ecx 
.text:00015F1E 004     sidt qword ptr [esp-2]              ; Store Interrupt Descriptor Table Register  
.text:00015F23 004     pop ecx
.text:00015F24 000     add ecx, 74h                        ; Add  
.text:00015F27 000     mov edi, [ecx]
.text:00015F29 000     mov di, [ecx-4]
.text:00015F2D 000     mov dword_180D6, edi  
.text:00015F33 000     lea eax, sub_15F42                  ; Load Effective Address  
.text:00015F39 000     push 0Eh                            ; EH  
.text:00015F3B 004     push eax                            ; Eax  
.text:00015F3C 008     call DriverUnLoad_Sub1              ; Call Procedure  
.text:00015F41 000     retn                                ; Return Near from Procedure

最初由 Ivanov 发布
[CODE].text:00015F13 000 mov HookFlag, 1
.text:00015F1D 000 push ecx
.text:00015F1E 004 sidt qword ptr [esp-2] ; Store Interrupt Descriptor Table Register
.text:00015F23 004 pop ecx
.text:00015F24 000 add ecx, 74h ; Add
........

最初由 Ivanov 发布
目前还不知道Themida将来怎么走, 是继续用SecureEngine,还是自己再开发(这一点很难做到,找不到这么强的程序员),拭目以待吧

最初由 Ivanov 发布
我想你并没有分析过themida的代码，我建议你去分析一下它，你就明白一两个顶级牛人也写不出来这东西，通过一个脱壳机休想脱它；

Themida，取消驱动是自寻死路，几个客户的要求，完全可以出特别版不至于挥刀自宫， 至于它新加VM，跟它本身那个大挪移比起来跟不算是个防御；

我还是建议你先逆向Themida的原理在讨论它的脱壳

最初由 鸡蛋壳 发布


居然有能给我来脱盲，我倒。实话告诉你，XPR两个程序员我都认识，其中一个和我关系不错，其中一个人进入Oreans【80%的XPR开发者:此人性格孤僻，也是因为他让我无法获得一份授权，另一个人都答应了】公司，进一步完善改进XPR成为了THEMIDA，不过THEMIDA很多参数你都看不到的，全部内置了，没有XPR那么开放性。所以XPR强就强在这里，不会有对XPR的通用脱壳机，但THEMIDA却有可能出现脱壳机。至少理论上以及实践上我都看到成为了可能。那个虚拟机有反向器的。