遇到一个TMD壳,网上很多脱壳工具都不好使,按照教程手脱,似乎OEP也不太对,哪位大神能帮帮忙呢?
利用ProtectionID查壳,提示:
File Type : 32-Bit Exe (Subsystem : Win GUI / 2), Size : 1650688 (0193000h) Byte(s)
[File Heuristics] -> Flag : 00000000000000001100000000110011 (0x0000C033)
[!] Themida v2.0.1.0 - v2.1.2.0 (or newer) detected !
[i] Hide PE Scanner Option used
- Scan Took : 0.797 Second(s)
隐藏OD
OD载入 停在这里:
00768000 > 83EC 04 sub esp, 4
00768003 50 push eax
00768004 53 push ebx
00768005 E8 01000000 call 0076800B
此时ESP为 0012FF8C
但不跟踪 F8,遇到callF7跟进,遇到返回F4进入,来到以下地址
005E2000 B8 00000000 mov eax, 0 ; (initial cpu selection)
005E2005 60 pushad
005E2006 0BC0 or eax, eax
005E2008 74 68 je short 005E2072
005E200A E8 00000000 call 005E200F
005E200F 58 pop eax
005E2010 05 53000000 add eax, 53
005E2015 8038 E9 cmp byte ptr [eax], 0E9
005E2018 75 13 jnz short 005E202D
005E201A 61 popad //popad,判断下一个jmp的地址就是OEP???
005E201B EB 45 jmp short 005E2062
005E201D DB2D 23205E00 fld tbyte ptr [5E2023]
005E2023 FFFF ??? ; 未知命令
005E2025 FFFF ??? ; 未知命令
005E2027 FFFF ??? ; 未知命令
005E2029 FFFF ??? ; 未知命令
005E202B 3D 40E80000 cmp eax, 0E840
005E2030 0000 add byte ptr [eax], al
005E2032 58 pop eax
005E2033 25 00F0FFFF and eax, FFFFF000
005E2038 33FF xor edi, edi
005E203A 66:BB 195A mov bx, 5A19
005E203E 66:83C3 34 add bx, 34
005E2042 66:3918 cmp word ptr [eax], bx
005E2045 75 12 jnz short 005E2059
开始以为上面的jmp地址就是OEP,可IAT修复的时候就提示不对,彻底蒙圈了~exe附件
不知道有没有什么好的脱壳机能脱2.0以上版本的TMD壳的?
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
