首页
社区
课程
招聘
[求助]TMD2.0脱壳
发表于: 2016-2-9 13:53 5473

[求助]TMD2.0脱壳

2016-2-9 13:53
5473
遇到一个TMD壳,网上很多脱壳工具都不好使,按照教程手脱,似乎OEP也不太对,哪位大神能帮帮忙呢?
利用ProtectionID查壳,提示:
File Type : 32-Bit Exe (Subsystem : Win GUI / 2), Size : 1650688 (0193000h) Byte(s)
[File Heuristics] -> Flag : 00000000000000001100000000110011 (0x0000C033)
[!] Themida v2.0.1.0 - v2.1.2.0 (or newer) detected !
[i] Hide PE Scanner Option used
- Scan Took : 0.797 Second(s)

隐藏OD
OD载入 停在这里:
00768000 >  83EC 04         sub     esp, 4
00768003    50              push    eax
00768004    53              push    ebx
00768005    E8 01000000     call    0076800B
此时ESP为 0012FF8C

但不跟踪 F8,遇到callF7跟进,遇到返回F4进入,来到以下地址

005E2000    B8 00000000     mov     eax, 0                           ; (initial cpu selection)
005E2005    60              pushad
005E2006    0BC0            or      eax, eax
005E2008    74 68           je      short 005E2072
005E200A    E8 00000000     call    005E200F
005E200F    58              pop     eax
005E2010    05 53000000     add     eax, 53
005E2015    8038 E9         cmp     byte ptr [eax], 0E9
005E2018    75 13           jnz     short 005E202D
005E201A    61              popad                                //popad,判断下一个jmp的地址就是OEP???
005E201B    EB 45           jmp     short 005E2062
005E201D    DB2D 23205E00   fld     tbyte ptr [5E2023]
005E2023    FFFF            ???                                      ; 未知命令
005E2025    FFFF            ???                                      ; 未知命令
005E2027    FFFF            ???                                      ; 未知命令
005E2029    FFFF            ???                                      ; 未知命令
005E202B    3D 40E80000     cmp     eax, 0E840
005E2030    0000            add     byte ptr [eax], al
005E2032    58              pop     eax
005E2033    25 00F0FFFF     and     eax, FFFFF000
005E2038    33FF            xor     edi, edi
005E203A    66:BB 195A      mov     bx, 5A19
005E203E    66:83C3 34      add     bx, 34
005E2042    66:3918         cmp     word ptr [eax], bx
005E2045    75 12           jnz     short 005E2059

开始以为上面的jmp地址就是OEP,可IAT修复的时候就提示不对,彻底蒙圈了~exe附件
不知道有没有什么好的脱壳机能脱2.0以上版本的TMD壳的?

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

上传的附件:
收藏
免费 0
支持
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回
//