[原创]ＴＨＥＭＩＤＡ去掉延时-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[原创]ＴＨＥＭＩＤＡ去掉延时

发表于: 2006-4-3 13:42 5362

[原创]ＴＨＥＭＩＤＡ去掉延时

linex

2006-4-3 13:42

5362

周末休息了两天，今天看论坛里关于themida的破解没人说话了，就再添点水吧．上午拿softworm和heXer的破解版本比较了一下，发现了一些蛛丝马迹，现在把我发现的地方放出来吧．

这是heXer的版本：

0059BAE5      B8 00000000   MOV EAX,0
0059BAEA   .  6A 01         PUSH 1
0059BAEC   .  35 DC050000   XOR EAX,5DC
0059BAF1   .  74 00         JE SHORT Cr_Themi.0059BAF3
0059BAF3   >  50            PUSH EAX
0059BAF4   .  FF95 4C3F5B00 CALL DWORD PTR SS:[EBP+5B3F4C]
0059BAFA   .  83BD 93BC5900>CMP DWORD PTR SS:[EBP+59BC93],0
0059BB01   .  74 00         JE SHORT Cr_Themi.0059BB03
0059BB03   >  8BC0          MOV EAX,EAX
0059BB05   .  90            NOP
0059BB06   .  90            NOP
0059BB07   .  83BD A4565B00>CMP DWORD PTR SS:[EBP+5B56A4],0
0059BB0E   .  75 09         JNZ SHORT Cr_Themi.0059BB19
0059BB10   .  83BD 98565B00>CMP DWORD PTR SS:[EBP+5B5698],0
0059BB17   .  74 19         JE SHORT Cr_Themi.0059BB32

这是softworm版本中的

0059BAE5      B8 00000000   MOV EAX,0
0059BAEA      50            PUSH EAX
0059BAEB      83F8 02       CMP EAX,2
0059BAEE      75 13         JNZ SHORT dumped_.0059BB03
0059BAF0      EB 08         JMP SHORT dumped_.0059BAFA
0059BAF2      6A 32         PUSH 32
0059BAF4      FF95 4C3F5B00 CALL DWORD PTR SS:[EBP+5B3F4C]
0059BAFA      83BD 93BC5900>CMP DWORD PTR SS:[EBP+59BC93],0
0059BB01    ^ 74 EF         JE SHORT dumped_.0059BAF2
0059BB03      8BC0          MOV EAX,EAX
0059BB05      90            NOP
0059BB06      90            NOP
0059BB07      83BD A4565B00>CMP DWORD PTR SS:[EBP+5B56A4],0
0059BB0E      75 09         JNZ SHORT dumped_.0059BB19
0059BB10      83BD 98565B00>CMP DWORD PTR SS:[EBP+5B5698],0
0059BB17      74 19         JE SHORT dumped_.0059BB32

看到了不同了吗，我经过试验，只要修改hexer版本中的0059BAEC-0059BAF3中的代码为softworm版本中的代码，或者修改softworm版本中0059BB02处字节为00都可以去掉LOGO的延时。

偶是菜鸟，为何这样改偶不懂，还是应该让heXer来解释吧。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・0

免费

支持

最新回复 (12)
爱一个人好难雪币： 0 能力值： (RANK：10 ) 在线值：发帖 30 回帖 463 粉丝 0 关注私信	爱一个人好难 2 楼楼主的办法不成？！难道我的版本有问题？！ 2006-4-3 17:21 0
redphoenix 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 45 粉丝 0 关注私信	redphoenix 3 楼莫非LZ是玩T1的？ 2006-4-3 17:56 0
linex 雪币： 279 活跃值： (145) 能力值： ( LV9，RANK：290 ) 在线值：发帖 11 回帖 267 粉丝 0 关注私信	linex 7 4 楼最初由爱一个人好难* 发布* 楼主的办法不成？！难道我的版本有问题？！最新的winlicense1.4也可以,只要在OD里修改一下005BFB1D处原来的EF为00就可以去掉延时。 2006-4-3 18:10 0
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 66 回帖 1050 粉丝 13 关注私信	softworm 30 5 楼直接这样比较是很难明白的，需要知道被加壳程序中什么代码导致了限制，以及加壳是在哪里把这些代码写入的。很费工夫。 2006-4-3 20:58 0
heXer 雪币： 254 活跃值： (126) 能力值： ( LV8，RANK：130 ) 在线值：发帖 12 回帖 802 粉丝 2 关注私信	heXer 3 6 楼 5DCh=1500 我是为了让NAG图片显示1500毫秒 2006-4-3 23:04 0
linex 雪币： 279 活跃值： (145) 能力值： ( LV9，RANK：290 ) 在线值：发帖 11 回帖 267 粉丝 0 关注私信	linex 7 7 楼最初由 heXer* 发布* 5DCh=1500 我是为了让NAG图片显示1500毫秒感谢大侠指点~ 2006-4-4 08:11 0
cxts 雪币： 218 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 52 粉丝 1 关注私信	cxts 8 楼再等等....linex 就破了winlicense1.4 2006-4-4 10:09 0
linex 雪币： 279 活跃值： (145) 能力值： ( LV9，RANK：290 ) 在线值：发帖 11 回帖 267 粉丝 0 关注私信	linex 7 9 楼精华里面的去 logo方法实际上是破坏了图像的代码, 并没有真正去掉调用LOGO的代码,革命尚未成功,,努力吧,同志们!~~ 2006-4-4 13:40 0
venski 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	venski 10 楼为什么高手都不会搞～～！！ 2006-4-26 23:04 0
fengyun 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 182 粉丝 0 关注私信	fengyun 11 楼 5DCh=1500 改成0就去掉了吧 2006-4-27 08:37 0
linex 雪币： 279 活跃值： (145) 能力值： ( LV9，RANK：290 ) 在线值：发帖 11 回帖 267 粉丝 0 关注私信	linex 7 12 楼楼上的方法是不可以的,试试就知道. 2006-4-27 13:58 0
风影子雪币： 260 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 57 粉丝 0 关注私信	风影子 13 楼谢谢，支持一下。 2006-4-27 14:50 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

linex

发帖

267

回帖

290

RANK

关注

私信

他的文章

Execryptor加壳的MultiTranse 4.1.1 4723
[原创]Processguard 中的自校验 7999
[原创]Nspack3.7 Cracked 10867
[求助] 如何为脱壳的软件重新加ASPR壳 4638
[原创]Asprotect2.3 Build4.26 Find OEP脚本(Beta) 10509

关于我们

联系我们

企业服务

看雪公众号

最新回复 (12)
爱一个人好难雪币： 0 能力值： (RANK：10 ) 在线值：发帖 30 回帖 463 粉丝 0 关注私信	爱一个人好难 2 楼楼主的办法不成？！难道我的版本有问题？！ 2006-4-3 17:21 0
redphoenix 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 45 粉丝 0 关注私信	redphoenix 3 楼莫非LZ是玩T1的？ 2006-4-3 17:56 0
linex 雪币： 279 活跃值： (145) 能力值： ( LV9，RANK：290 ) 在线值：发帖 11 回帖 267 粉丝 0 关注私信	linex 7 4 楼最初由爱一个人好难* 发布* 楼主的办法不成？！难道我的版本有问题？！最新的winlicense1.4也可以,只要在OD里修改一下005BFB1D处原来的EF为00就可以去掉延时。 2006-4-3 18:10 0
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 66 回帖 1050 粉丝 13 关注私信	softworm 30 5 楼直接这样比较是很难明白的，需要知道被加壳程序中什么代码导致了限制，以及加壳是在哪里把这些代码写入的。很费工夫。 2006-4-3 20:58 0
heXer 雪币： 254 活跃值： (126) 能力值： ( LV8，RANK：130 ) 在线值：发帖 12 回帖 802 粉丝 2 关注私信	heXer 3 6 楼 5DCh=1500 我是为了让NAG图片显示1500毫秒 2006-4-3 23:04 0
linex 雪币： 279 活跃值： (145) 能力值： ( LV9，RANK：290 ) 在线值：发帖 11 回帖 267 粉丝 0 关注私信	linex 7 7 楼最初由 heXer* 发布* 5DCh=1500 我是为了让NAG图片显示1500毫秒感谢大侠指点~ 2006-4-4 08:11 0
cxts 雪币： 218 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 52 粉丝 1 关注私信	cxts 8 楼再等等....linex 就破了winlicense1.4 2006-4-4 10:09 0
linex 雪币： 279 活跃值： (145) 能力值： ( LV9，RANK：290 ) 在线值：发帖 11 回帖 267 粉丝 0 关注私信	linex 7 9 楼精华里面的去 logo方法实际上是破坏了图像的代码, 并没有真正去掉调用LOGO的代码,革命尚未成功,,努力吧,同志们!~~ 2006-4-4 13:40 0
venski 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	venski 10 楼为什么高手都不会搞～～！！ 2006-4-26 23:04 0
fengyun 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 182 粉丝 0 关注私信	fengyun 11 楼 5DCh=1500 改成0就去掉了吧 2006-4-27 08:37 0
linex 雪币： 279 活跃值： (145) 能力值： ( LV9，RANK：290 ) 在线值：发帖 11 回帖 267 粉丝 0 关注私信	linex 7 12 楼楼上的方法是不可以的,试试就知道. 2006-4-27 13:58 0
风影子雪币： 260 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 57 粉丝 0 关注私信	风影子 13 楼谢谢，支持一下。 2006-4-27 14:50 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[原创]ＴＨＥＭＩＤＡ去掉延时

账号登录 验证码登录

账号登录

验证码登录