[分享]Themida & WinLicense 2.0 - 2.4.6 脱壳-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (42) ◀ 1 2
DoctorHou 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	DoctorHou 26 楼您好，我停的位置不同，我在resume之后就没有提示什么，后来来到一个puase，我在国外的论坛找到原贴，他提示在主程序窗口再次resume，但是这样我还是没有来到弹窗的地方。 2020-2-20 00:26 0
DoctorHou 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	DoctorHou 27 楼 mb_iolthrdn 我想知道用什么去修改那个dll的路径呢脚本是个txt，直接在里面改。 2020-2-20 00:33 0
xuebohan 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 1 关注私信	xuebohan 28 楼也是error on lin 11232 2020-2-21 15:09 0
HelloOcean 雪币： 23 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 1 关注私信	HelloOcean 29 楼 error on lin 11232 这个错误是中文路径的错误 2020-3-8 14:38 0
HelloOcean 雪币： 23 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 1 关注私信	HelloOcean 30 楼 zzcl558 没有啊，楼主很忙，没空理我们呢[em_20]，我们的一样，我的也是停在esto这里去看原版连接，那个更详细 2020-3-8 15:03 0
livy 雪币： 249 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 56 粉丝 0 关注私信	livy 31 楼脱壳后，文件无效，还是iat没有修复 2020-3-11 17:43 0
ddwwtom 雪币： 217 活跃值： (192) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	ddwwtom 32 楼你好，我的出现这种问题怎么办？ Log data Address Message Themida - Winlicense Ultra Unpacker 1.4 -+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ 07480A0F Breakpoint at 07480A0F 07480A10 Breakpoint at 07480A10 07490054 Breakpoint at 07490054 OS=x86 32-Bit 07490056 Breakpoint at 07490056 074B0021 Breakpoint at 074B0021 074B0028 Breakpoint at 074B0028 1.681 MB +/- 4.396 MB +/- Dll Can Move Option is Enabled! = Diffrent loading of targetbase! You need to disable this option or system ASLR! Dll Can Move was disabled in PE Header now before dumping later! Your target is a >>> Dynamic <<< Link Library! Note: If possible then don't use the VM OEP for dlls if real OEP is not stolen! Change VM OEP after popad to JMP Target OEP! Or Just set a another push 0 before VM OEP push = 2 pushes before jump to WL VM! OEP change if you want to keep VM OEP for Dll ------------------------------------------------- popad mov ebp, Align push 0 push VM OEP Value jmp WL VM ------------------------------------------------- Exsample: Not stolen Dll OEP! ------------------------------------------------- 100084D2 MOV EDI,EDI 100084D4 PUSH EBP 100084D5 MOV EBP,ESP 100084D7 CMP DWORD PTR SS:[EBP+0xC],0x1 <-- check for 1 must be inside to run the Dll 100084DB JNZ SHORT 100084E2 <-- Don't jump if value 1 is inside stack Stack: At Target OEP / Not stolen ------------------------------------------------- $ ==> 7C91118A RETURN to ntdll.7C91118A $+4 10000000 Dll_X.10000000 <-- Base $+8 00000001 <-- 1 $+C 00000000 ImageBase in PE keep same = File was loaded with original ImageBase! PE HEADER: 10000000 \| 1000 CODESECTION: 10001000 \| 1A000 PE HEADER till CODESECTION Distance: 1000 \|\| Value of 1000 = Normal! Your Target seems to be a normal file! Unpacking of NET targets is diffrent! Dump running process with WinHex and then fix the whole PE and NET struct! 074C07AA Breakpoint at 074C07AA No Overlay used! 2020-7-13 10:23 0
世界旁观者雪币： 200 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	世界旁观者 33 楼脱壳后，文件无效。。 2020-9-7 12:02 0
supersoar 雪币： 573 活跃值： (222) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 196 粉丝 0 关注私信	supersoar 34 楼能提取 XBulder 打包的文件么 2020-9-9 10:02 0
CRloewe 雪币： 35 活跃值： (136) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 17 粉丝 0 关注私信	CRloewe 35 楼 zzcl558 看错了，看成是你要了[em_20] 最后于 2020-12-23 14:15 被CRloewe编辑，原因： 2020-12-23 10:16 0
欧阳休雪币： 3796 活跃值： (1882) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 39 粉丝 2 关注私信	欧阳休 36 楼 dump的文件无法运行！ 2021-3-2 11:43 0
ninebell 雪币： 35726 活跃值： (7155) 能力值： ( LV3，RANK：20 ) 在线值：发帖 135 回帖 1124 粉丝 69 关注私信	ninebell 37 楼 2021年了，版本能通用？ 2021-3-4 07:10 0
工程雪币： 87 活跃值： (205) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 91 粉丝 0 关注私信	工程 38 楼程序样本应该是和作者同一个程序，52PJ的2.0虚拟机下报错，不知道有没遇到的？OD也是从作者微信公众号下载的. 2021-8-17 18:26 0
bridgeic 雪币： 484 活跃值： (269) 能力值： ( LV7，RANK：100 ) 在线值：发帖 68 回帖 283 粉丝 8 关注私信	bridgeic 2 39 楼有哪位朋友下载过附件，可否分享下？谢谢！百度盘链接已经失效了。 2021-11-26 18:06 0
轻快笑着行雪币： 433 活跃值： (2524) 能力值： ( LV3，RANK：35 ) 在线值：发帖 2 回帖 38 粉丝 0 关注私信	轻快笑着行 40 楼 . 最后于 2022-12-29 11:15 被轻快笑着行编辑，原因： 2022-11-7 20:54 0
roboa.cn 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	roboa.cn 41 楼楼主的文件已经取消分享了,感谢分享过程 2022-11-14 17:12 0
_Fish 雪币： 484 活跃值： (435) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	_Fish 42 楼本人萌新，请问一下现在这个还能用吗？带反调试的会不会有影响？ 2022-12-30 11:45 0
xxhaishixx 雪币： 89 活跃值： (214) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 85 粉丝 0 关注私信	xxhaishixx 43 楼分享链接消失了，有没有同学再分享一下 2024-7-3 21:49 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (42) ◀ 1 2
DoctorHou 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	DoctorHou 26 楼您好，我停的位置不同，我在resume之后就没有提示什么，后来来到一个puase，我在国外的论坛找到原贴，他提示在主程序窗口再次resume，但是这样我还是没有来到弹窗的地方。 2020-2-20 00:26 0
DoctorHou 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	DoctorHou 27 楼 mb_iolthrdn 我想知道用什么去修改那个dll的路径呢脚本是个txt，直接在里面改。 2020-2-20 00:33 0
xuebohan 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 1 关注私信	xuebohan 28 楼也是error on lin 11232 2020-2-21 15:09 0
HelloOcean 雪币： 23 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 1 关注私信	HelloOcean 29 楼 error on lin 11232 这个错误是中文路径的错误 2020-3-8 14:38 0
HelloOcean 雪币： 23 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 1 关注私信	HelloOcean 30 楼 zzcl558 没有啊，楼主很忙，没空理我们呢[em_20]，我们的一样，我的也是停在esto这里去看原版连接，那个更详细 2020-3-8 15:03 0
livy 雪币： 249 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 56 粉丝 0 关注私信	livy 31 楼脱壳后，文件无效，还是iat没有修复 2020-3-11 17:43 0
ddwwtom 雪币： 217 活跃值： (192) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	ddwwtom 32 楼你好，我的出现这种问题怎么办？ Log data Address Message Themida - Winlicense Ultra Unpacker 1.4 -+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ 07480A0F Breakpoint at 07480A0F 07480A10 Breakpoint at 07480A10 07490054 Breakpoint at 07490054 OS=x86 32-Bit 07490056 Breakpoint at 07490056 074B0021 Breakpoint at 074B0021 074B0028 Breakpoint at 074B0028 1.681 MB +/- 4.396 MB +/- Dll Can Move Option is Enabled! = Diffrent loading of targetbase! You need to disable this option or system ASLR! Dll Can Move was disabled in PE Header now before dumping later! Your target is a >>> Dynamic <<< Link Library! Note: If possible then don't use the VM OEP for dlls if real OEP is not stolen! Change VM OEP after popad to JMP Target OEP! Or Just set a another push 0 before VM OEP push = 2 pushes before jump to WL VM! OEP change if you want to keep VM OEP for Dll ------------------------------------------------- popad mov ebp, Align push 0 push VM OEP Value jmp WL VM ------------------------------------------------- Exsample: Not stolen Dll OEP! ------------------------------------------------- 100084D2 MOV EDI,EDI 100084D4 PUSH EBP 100084D5 MOV EBP,ESP 100084D7 CMP DWORD PTR SS:[EBP+0xC],0x1 <-- check for 1 must be inside to run the Dll 100084DB JNZ SHORT 100084E2 <-- Don't jump if value 1 is inside stack Stack: At Target OEP / Not stolen ------------------------------------------------- $ ==> 7C91118A RETURN to ntdll.7C91118A $+4 10000000 Dll_X.10000000 <-- Base $+8 00000001 <-- 1 $+C 00000000 ImageBase in PE keep same = File was loaded with original ImageBase! PE HEADER: 10000000 \| 1000 CODESECTION: 10001000 \| 1A000 PE HEADER till CODESECTION Distance: 1000 \|\| Value of 1000 = Normal! Your Target seems to be a normal file! Unpacking of NET targets is diffrent! Dump running process with WinHex and then fix the whole PE and NET struct! 074C07AA Breakpoint at 074C07AA No Overlay used! 2020-7-13 10:23 0
世界旁观者雪币： 200 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	世界旁观者 33 楼脱壳后，文件无效。。 2020-9-7 12:02 0
supersoar 雪币： 573 活跃值： (222) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 196 粉丝 0 关注私信	supersoar 34 楼能提取 XBulder 打包的文件么 2020-9-9 10:02 0
CRloewe 雪币： 35 活跃值： (136) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 17 粉丝 0 关注私信	CRloewe 35 楼 zzcl558 看错了，看成是你要了[em_20] 最后于 2020-12-23 14:15 被CRloewe编辑，原因： 2020-12-23 10:16 0
欧阳休雪币： 3796 活跃值： (1882) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 39 粉丝 2 关注私信	欧阳休 36 楼 dump的文件无法运行！ 2021-3-2 11:43 0
ninebell 雪币： 35726 活跃值： (7155) 能力值： ( LV3，RANK：20 ) 在线值：发帖 135 回帖 1124 粉丝 69 关注私信	ninebell 37 楼 2021年了，版本能通用？ 2021-3-4 07:10 0
工程雪币： 87 活跃值： (205) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 91 粉丝 0 关注私信	工程 38 楼程序样本应该是和作者同一个程序，52PJ的2.0虚拟机下报错，不知道有没遇到的？OD也是从作者微信公众号下载的. 2021-8-17 18:26 0
bridgeic 雪币： 484 活跃值： (269) 能力值： ( LV7，RANK：100 ) 在线值：发帖 68 回帖 283 粉丝 8 关注私信	bridgeic 2 39 楼有哪位朋友下载过附件，可否分享下？谢谢！百度盘链接已经失效了。 2021-11-26 18:06 0
轻快笑着行雪币： 433 活跃值： (2524) 能力值： ( LV3，RANK：35 ) 在线值：发帖 2 回帖 38 粉丝 0 关注私信	轻快笑着行 40 楼 . 最后于 2022-12-29 11:15 被轻快笑着行编辑，原因： 2022-11-7 20:54 0
roboa.cn 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	roboa.cn 41 楼楼主的文件已经取消分享了,感谢分享过程 2022-11-14 17:12 0
_Fish 雪币： 484 活跃值： (435) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	_Fish 42 楼本人萌新，请问一下现在这个还能用吗？带反调试的会不会有影响？ 2022-12-30 11:45 0
xxhaishixx 雪币： 89 活跃值： (214) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 85 粉丝 0 关注私信	xxhaishixx 43 楼分享链接消失了，有没有同学再分享一下 2024-7-3 21:49 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复