[分享]Themida & WinLicense 2.0 - 2.4.6 脱壳-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (41) ◀ 1 2
DoctorHou 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	DoctorHou 2020-2-20 00:26 26 楼 0 您好，我停的位置不同，我在resume之后就没有提示什么，后来来到一个puase，我在国外的论坛找到原贴，他提示在主程序窗口再次resume，但是这样我还是没有来到弹窗的地方。
DoctorHou 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	DoctorHou 2020-2-20 00:33 27 楼 0 mb_iolthrdn 我想知道用什么去修改那个dll的路径呢脚本是个txt，直接在里面改。
xuebohan 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 1 关注私信	xuebohan 2020-2-21 15:09 28 楼 0 也是error on lin 11232
HelloOcean 雪币： 23 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 1 关注私信	HelloOcean 2020-3-8 14:38 29 楼 0 error on lin 11232 这个错误是中文路径的错误
HelloOcean 雪币： 23 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 1 关注私信	HelloOcean 2020-3-8 15:03 30 楼 0 zzcl558 没有啊，楼主很忙，没空理我们呢[em_20]，我们的一样，我的也是停在esto这里去看原版连接，那个更详细
livy 雪币： 249 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 56 粉丝 0 关注私信	livy 2020-3-11 17:43 31 楼 0 脱壳后，文件无效，还是iat没有修复
ddwwtom 雪币： 214 活跃值： (187) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	ddwwtom 2020-7-13 10:23 32 楼 0 你好，我的出现这种问题怎么办？ Log data Address Message Themida - Winlicense Ultra Unpacker 1.4 -+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ 07480A0F Breakpoint at 07480A0F 07480A10 Breakpoint at 07480A10 07490054 Breakpoint at 07490054 OS=x86 32-Bit 07490056 Breakpoint at 07490056 074B0021 Breakpoint at 074B0021 074B0028 Breakpoint at 074B0028 1.681 MB +/- 4.396 MB +/- Dll Can Move Option is Enabled! = Diffrent loading of targetbase! You need to disable this option or system ASLR! Dll Can Move was disabled in PE Header now before dumping later! Your target is a >>> Dynamic <<< Link Library! Note: If possible then don't use the VM OEP for dlls if real OEP is not stolen! Change VM OEP after popad to JMP Target OEP! Or Just set a another push 0 before VM OEP push = 2 pushes before jump to WL VM! OEP change if you want to keep VM OEP for Dll ------------------------------------------------- popad mov ebp, Align push 0 push VM OEP Value jmp WL VM ------------------------------------------------- Exsample: Not stolen Dll OEP! ------------------------------------------------- 100084D2 MOV EDI,EDI 100084D4 PUSH EBP 100084D5 MOV EBP,ESP 100084D7 CMP DWORD PTR SS:[EBP+0xC],0x1 <-- check for 1 must be inside to run the Dll 100084DB JNZ SHORT 100084E2 <-- Don't jump if value 1 is inside stack Stack: At Target OEP / Not stolen ------------------------------------------------- $ ==> 7C91118A RETURN to ntdll.7C91118A $+4 10000000 Dll_X.10000000 <-- Base $+8 00000001 <-- 1 $+C 00000000 ImageBase in PE keep same = File was loaded with original ImageBase! PE HEADER: 10000000 \| 1000 CODESECTION: 10001000 \| 1A000 PE HEADER till CODESECTION Distance: 1000 \|\| Value of 1000 = Normal! Your Target seems to be a normal file! Unpacking of NET targets is diffrent! Dump running process with WinHex and then fix the whole PE and NET struct! 074C07AA Breakpoint at 074C07AA No Overlay used!
世界旁观者雪币： 200 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	世界旁观者 2020-9-7 12:02 33 楼 0 脱壳后，文件无效。。
supersoar 雪币： 583 活跃值： (147) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 176 粉丝 0 关注私信	supersoar 2020-9-9 10:02 34 楼 0 能提取 XBulder 打包的文件么
CRloewe 雪币： 35 活跃值： (126) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 17 粉丝 0 关注私信	CRloewe 2020-12-23 10:16 35 楼 0 zzcl558 看错了，看成是你要了[em_20] 最后于 2020-12-23 14:15 被CRloewe编辑，原因：
欧阳休雪币： 3794 活跃值： (1862) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 38 粉丝 2 关注私信	欧阳休 2021-3-2 11:43 36 楼 0 dump的文件无法运行！
ninebell 雪币： 31845 活跃值： (7105) 能力值： ( LV3，RANK：20 ) 在线值：发帖 136 回帖 1034 粉丝 64 关注私信	ninebell 2021-3-4 07:10 37 楼 0 2021年了，版本能通用？
工程雪币： 87 活跃值： (165) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 91 粉丝 0 关注私信	工程 2021-8-17 18:26 38 楼 0 程序样本应该是和作者同一个程序，52PJ的2.0虚拟机下报错，不知道有没遇到的？OD也是从作者微信公众号下载的.
bridgeic 雪币： 482 活跃值： (270) 能力值： ( LV7，RANK：100 ) 在线值：发帖 69 回帖 280 粉丝 6 关注私信	bridgeic 2 2021-11-26 18:06 39 楼 0 有哪位朋友下载过附件，可否分享下？谢谢！百度盘链接已经失效了。
轻快笑着行雪币： 411 活跃值： (2217) 能力值： ( LV3，RANK：35 ) 在线值：发帖 2 回帖 36 粉丝 0 关注私信	轻快笑着行 2022-11-7 20:54 40 楼 0 . 最后于 2022-12-29 11:15 被轻快笑着行编辑，原因：
roboa.cn 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	roboa.cn 2022-11-14 17:12 41 楼 0 楼主的文件已经取消分享了,感谢分享过程
_Fish 雪币： 484 活跃值： (400) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	_Fish 2022-12-30 11:45 42 楼 0 本人萌新，请问一下现在这个还能用吗？带反调试的会不会有影响？
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

最新回复 (41) ◀ 1 2
DoctorHou 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	DoctorHou 2020-2-20 00:26 26 楼 0 您好，我停的位置不同，我在resume之后就没有提示什么，后来来到一个puase，我在国外的论坛找到原贴，他提示在主程序窗口再次resume，但是这样我还是没有来到弹窗的地方。
DoctorHou 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	DoctorHou 2020-2-20 00:33 27 楼 0 mb_iolthrdn 我想知道用什么去修改那个dll的路径呢脚本是个txt，直接在里面改。
xuebohan 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 1 关注私信	xuebohan 2020-2-21 15:09 28 楼 0 也是error on lin 11232
HelloOcean 雪币： 23 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 1 关注私信	HelloOcean 2020-3-8 14:38 29 楼 0 error on lin 11232 这个错误是中文路径的错误
HelloOcean 雪币： 23 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 1 关注私信	HelloOcean 2020-3-8 15:03 30 楼 0 zzcl558 没有啊，楼主很忙，没空理我们呢[em_20]，我们的一样，我的也是停在esto这里去看原版连接，那个更详细
livy 雪币： 249 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 56 粉丝 0 关注私信	livy 2020-3-11 17:43 31 楼 0 脱壳后，文件无效，还是iat没有修复
ddwwtom 雪币： 214 活跃值： (187) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	ddwwtom 2020-7-13 10:23 32 楼 0 你好，我的出现这种问题怎么办？ Log data Address Message Themida - Winlicense Ultra Unpacker 1.4 -+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ 07480A0F Breakpoint at 07480A0F 07480A10 Breakpoint at 07480A10 07490054 Breakpoint at 07490054 OS=x86 32-Bit 07490056 Breakpoint at 07490056 074B0021 Breakpoint at 074B0021 074B0028 Breakpoint at 074B0028 1.681 MB +/- 4.396 MB +/- Dll Can Move Option is Enabled! = Diffrent loading of targetbase! You need to disable this option or system ASLR! Dll Can Move was disabled in PE Header now before dumping later! Your target is a >>> Dynamic <<< Link Library! Note: If possible then don't use the VM OEP for dlls if real OEP is not stolen! Change VM OEP after popad to JMP Target OEP! Or Just set a another push 0 before VM OEP push = 2 pushes before jump to WL VM! OEP change if you want to keep VM OEP for Dll ------------------------------------------------- popad mov ebp, Align push 0 push VM OEP Value jmp WL VM ------------------------------------------------- Exsample: Not stolen Dll OEP! ------------------------------------------------- 100084D2 MOV EDI,EDI 100084D4 PUSH EBP 100084D5 MOV EBP,ESP 100084D7 CMP DWORD PTR SS:[EBP+0xC],0x1 <-- check for 1 must be inside to run the Dll 100084DB JNZ SHORT 100084E2 <-- Don't jump if value 1 is inside stack Stack: At Target OEP / Not stolen ------------------------------------------------- $ ==> 7C91118A RETURN to ntdll.7C91118A $+4 10000000 Dll_X.10000000 <-- Base $+8 00000001 <-- 1 $+C 00000000 ImageBase in PE keep same = File was loaded with original ImageBase! PE HEADER: 10000000 \| 1000 CODESECTION: 10001000 \| 1A000 PE HEADER till CODESECTION Distance: 1000 \|\| Value of 1000 = Normal! Your Target seems to be a normal file! Unpacking of NET targets is diffrent! Dump running process with WinHex and then fix the whole PE and NET struct! 074C07AA Breakpoint at 074C07AA No Overlay used!
世界旁观者雪币： 200 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	世界旁观者 2020-9-7 12:02 33 楼 0 脱壳后，文件无效。。
supersoar 雪币： 583 活跃值： (147) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 176 粉丝 0 关注私信	supersoar 2020-9-9 10:02 34 楼 0 能提取 XBulder 打包的文件么
CRloewe 雪币： 35 活跃值： (126) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 17 粉丝 0 关注私信	CRloewe 2020-12-23 10:16 35 楼 0 zzcl558 看错了，看成是你要了[em_20] 最后于 2020-12-23 14:15 被CRloewe编辑，原因：
欧阳休雪币： 3794 活跃值： (1862) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 38 粉丝 2 关注私信	欧阳休 2021-3-2 11:43 36 楼 0 dump的文件无法运行！
ninebell 雪币： 31845 活跃值： (7105) 能力值： ( LV3，RANK：20 ) 在线值：发帖 136 回帖 1034 粉丝 64 关注私信	ninebell 2021-3-4 07:10 37 楼 0 2021年了，版本能通用？
工程雪币： 87 活跃值： (165) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 91 粉丝 0 关注私信	工程 2021-8-17 18:26 38 楼 0 程序样本应该是和作者同一个程序，52PJ的2.0虚拟机下报错，不知道有没遇到的？OD也是从作者微信公众号下载的.
bridgeic 雪币： 482 活跃值： (270) 能力值： ( LV7，RANK：100 ) 在线值：发帖 69 回帖 280 粉丝 6 关注私信	bridgeic 2 2021-11-26 18:06 39 楼 0 有哪位朋友下载过附件，可否分享下？谢谢！百度盘链接已经失效了。
轻快笑着行雪币： 411 活跃值： (2217) 能力值： ( LV3，RANK：35 ) 在线值：发帖 2 回帖 36 粉丝 0 关注私信	轻快笑着行 2022-11-7 20:54 40 楼 0 . 最后于 2022-12-29 11:15 被轻快笑着行编辑，原因：
roboa.cn 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	roboa.cn 2022-11-14 17:12 41 楼 0 楼主的文件已经取消分享了,感谢分享过程
_Fish 雪币： 484 活跃值： (400) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	_Fish 2022-12-30 11:45 42 楼 0 本人萌新，请问一下现在这个还能用吗？带反调试的会不会有影响？
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复