首页
社区
课程
招聘
[分享]Themida & WinLicense 2.0 - 2.4.6 脱壳
发表于: 2019-10-23 20:18 67282

[分享]Themida & WinLicense 2.0 - 2.4.6 脱壳

2019-10-23 20:18
67282

碰上了这个壳,具体文件就不说了

百度查了一圈找不到相关文章?难道要手脱?

濒临绝望之前,看到了国外某大佬的文章,链接:https://zenhax.com/viewtopic.php?f=4&t=1051Hello

来看过程吧


PEID查壳


脱壳需要的文件如下:

OD

插件:

ODBGScript v1.82.6

StrongOD 0.4.8.892

PhantOm 1.79

ARImpRec.dll

脱壳脚本(Themida - Winlicense Ultra Unpacker 1.4)


文件会在文末留下链接


在使用脱壳脚本之前,需要修改一下ARImpRec.dll的路径。

打开脚本文件搜索HERE_ENTER_YOUR_DLL_PATH_TO_ARIMPREC_DLL:

在324行中修改为你存储此dll的绝对路径。


还有一点需要注意的就是,要使用英文版本的OD,下图中的OllyDBG.exe,然后备份OllyDBG.ini文件。

并创建一个新的OllyDBG.ini,使其文件内容为空


打开OllDBG.exe,加载待脱壳文件,然后加载脚本

运行脚本

点击是


点击否


脚本已经开始工作了


在运行几秒后,脚本暂停在了上图的位置,继续运行脚本即可



随后我们获得了如下图的弹窗,需要在OllyDBG.ini文件中,根据提示修改文件,并重新运行脚本,我在文末的打包文件中已经修改好了



关掉弹窗,继续运行


点击是,进行更多的检查


在这一步,点击否


如果你在虚拟机中运行点击时,真机的话点击否就好了


搞定了,现在可以进行dump了,点击是


按照上图说的去做,第一次看到这个弹窗,点击否,不是第一次点击是



文件大小可以接受,不需要压缩,点击是

一些文件信息,点击是

OK,脱壳结束,脱壳的文件被命名为<原文件名>_DP。

再来查一下壳

公众号回复:Themida


即可下载文中所需文件哦。

搞定。



[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

最后于 2019-10-23 20:37 被Hasic编辑 ,原因:
收藏
免费 4
支持
分享
最新回复 (42)
雪    币: 30
活跃值: (915)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
2
这脚本 好多年不更新 用起来还那么牢固
2019-10-23 22:26
0
雪    币: 175
活跃值: (2621)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
看起来很厉害。学习学习。
2019-10-24 08:31
0
雪    币: 6257
活跃值: (5700)
能力值: ( LV5,RANK:65 )
在线值:
发帖
回帖
粉丝
4
感谢分享,收藏了!
2019-10-24 15:04
1
雪    币: 3270
活跃值: (1941)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
你好骚啊
2019-10-24 16:31
0
雪    币: 4797
活跃值: (3685)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
感谢分享,很详细的帖子;这脚本 好多年不更新 用起来还那么牢固;本人经过5个不同年代的文件测试,有的一次搞定,有的要修订OPE;总的来说是个好脚本,省了很多的时间和脑力
2019-11-20 22:51
0
雪    币: 203
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
crc去得掉么. 感觉脱的不是很干净.虽然能调试了.但是依然在检测OD的断点.
2019-11-26 17:58
0
雪    币: 12539
活跃值: (5288)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8

好强大的脚本呀
2019-11-26 18:18
0
雪    币:
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
9
好强大的脚本,支持。
2019-11-28 15:40
0
雪    币: 101
活跃值: (97)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
Themida
2019-11-30 17:10
0
雪    币: 12625
活跃值: (4046)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
谢谢分享,试了下64位系统好像不行呢
2019-12-9 09:54
0
雪    币:
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
12
文章有些地方看不懂,第一次暂停之后继续运行后又暂停就没了,没有弹出提示框
2019-12-9 19:38
0
雪    币:
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
13
xiaojixiao 感谢分享,很详细的帖子;这脚本 好多年不更新 用起来还那么牢固;本人经过5个不同年代的文件测试,有的一次搞定,有的要修订OPE;总的来说是个好脚本,省了很多的时间和脑力[em_63]
你好,我在脱壳的时候被检测到了,不知道怎么解决,你能帮帮我吗?
2019-12-9 20:25
0
雪    币: 150
活跃值: (1130)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
文件没看到
2019-12-16 11:52
0
雪    币:
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
15
我想知道用什么去修改那个dll的路径呢
2019-12-19 01:30
0
雪    币: 8906
活跃值: (2684)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
16
请问脱壳脚本(Themida - Winlicense Ultra Unpacker 1.4)在哪下载?
2019-12-22 16:10
0
雪    币: 882
活跃值: (81)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
17
你好!按你的教程脱tmd壳的时候,到提示修改OllyDBG.ini 关闭后继续,然后出来的窗口和你的不一样,你的出来是问要不要更多检查,我的出来是下面图片这样的,

点了确定后出来
像我这样应该要怎么弄?
直接在OD里运行出来的是这样的提示

教一下,非常感谢!
2019-12-30 00:41
0
雪    币: 882
活跃值: (81)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
18
jimxy 请问脱壳脚本(Themida - Winlicense Ultra Unpacker 1.4)在哪下载?
脚本我有,怎么传给你?
2019-12-30 00:44
0
雪    币: 1188
活跃值: (974)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
19
mb_eoovvcwq 脚本我有,怎么传给你?
可以直接高级回复带附件
2020-1-3 22:20
0
雪    币: 882
活跃值: (81)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
20
program杨 可以直接高级回复带附件

好的,现在给你

上传的附件:
2020-1-4 02:25
0
雪    币: 882
活跃值: (81)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
21
program杨 可以直接高级回复带附件
看错了,看成是你要了
2020-1-4 02:28
0
雪    币: 882
活跃值: (81)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
22
jimxy 请问脱壳脚本(Themida - Winlicense Ultra Unpacker 1.4)在哪下载?
我已经传上来了
2020-1-4 02:29
0
雪    币: 1188
活跃值: (974)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
23
mb_eoovvcwq 你好!按你的教程脱tmd壳的时候,到提示修改OllyDBG.ini 关闭后继续,然后出来的窗口和你的不一样,你的出来是问要不要更多检查,我的出来是下面图片这样的,点了确定后出来像我这样应该要怎么弄?直 ...
你的问题解决了么。 我跟你的问题一样。error on lin 11232
2020-1-4 13:45
0
雪    币: 1188
活跃值: (974)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
24
mb_eoovvcwq 你好!按你的教程脱tmd壳的时候,到提示修改OllyDBG.ini 关闭后继续,然后出来的窗口和你的不一样,你的出来是问要不要更多检查,我的出来是下面图片这样的,点了确定后出来像我这样应该要怎么弄?直 ...
请教楼主一个问题,希望楼主可以在百忙之中抽出时间解答一下。
我在入下图一步点否以后,脚本运行了几秒左右停住了,没有出现任何提示,想请教
2020-1-4 14:04
0
雪    币: 882
活跃值: (81)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
25
program杨 请教楼主一个问题,希望楼主可以在百忙之中抽出时间解答一下。我在入下图一步点否以后,脚本运行了几秒左右停住了,没有出现任何提示,想请教
没有啊,楼主很忙,没空理我们呢,我们的一样,我的也是停在esto这里
2020-1-6 07:35
0
游客
登录 | 注册 方可回帖
返回
//