[分享]Themida & WinLicense 2.0 - 2.4.6 脱壳-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[分享]Themida & WinLicense 2.0 - 2.4.6 脱壳

发表于: 2019-10-23 20:18 66705

[分享]Themida & WinLicense 2.0 - 2.4.6 脱壳

Hasic

2019-10-23 20:18

66705

碰上了这个壳，具体文件就不说了

百度查了一圈找不到相关文章？难道要手脱？

濒临绝望之前，看到了国外某大佬的文章，链接：https://zenhax.com/viewtopic.php?f=4&t=1051Hello

来看过程吧

PEID查壳

脱壳需要的文件如下：

插件：

ODBGScript v1.82.6

StrongOD 0.4.8.892

PhantOm 1.79

ARImpRec.dll

脱壳脚本（Themida - Winlicense Ultra Unpacker 1.4）

文件会在文末留下链接

在使用脱壳脚本之前，需要修改一下ARImpRec.dll的路径。

打开脚本文件搜索HERE_ENTER_YOUR_DLL_PATH_TO_ARIMPREC_DLL:

在324行中修改为你存储此dll的绝对路径。

还有一点需要注意的就是，要使用英文版本的OD，下图中的OllyDBG.exe，然后备份OllyDBG.ini文件。

并创建一个新的OllyDBG.ini，使其文件内容为空

打开OllDBG.exe，加载待脱壳文件，然后加载脚本

运行脚本

点击是

点击否

脚本已经开始工作了

在运行几秒后，脚本暂停在了上图的位置，继续运行脚本即可

随后我们获得了如下图的弹窗，需要在OllyDBG.ini文件中，根据提示修改文件，并重新运行脚本，我在文末的打包文件中已经修改好了

关掉弹窗，继续运行

点击是，进行更多的检查

在这一步，点击否

如果你在虚拟机中运行点击时，真机的话点击否就好了

搞定了，现在可以进行dump了，点击是

按照上图说的去做，第一次看到这个弹窗，点击否，不是第一次点击是

文件大小可以接受，不需要压缩，点击是

一些文件信息，点击是

OK，脱壳结束，脱壳的文件被命名为<原文件名>_DP。

再来查一下壳

公众号回复：Themida

即可下载文中所需文件哦。

搞定。

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

最后于 2019-10-23 20:37 被Hasic编辑，原因：

收藏・52

免费・4

支持

最新回复 (42) 1 2 ▶
uvbs 雪币： 30 活跃值： (755) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 199 粉丝 2 关注私信	uvbs 2 楼这脚本好多年不更新用起来还那么牢固 2019-10-23 22:26 0
xingbing 雪币： 175 活跃值： (2526) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 1136 粉丝 2 关注私信	xingbing 3 楼看起来很厉害。学习学习。 2019-10-24 08:31 0
gamehack 雪币： 6095 活跃值： (5510) 能力值： ( LV5，RANK：65 ) 在线值：发帖 5 回帖 427 粉丝 18 关注私信	gamehack 4 楼感谢分享,收藏了! 2019-10-24 15:04 1
MsScotch 雪币： 3181 活跃值： (1796) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 338 粉丝 3 关注私信	MsScotch 5 楼你好骚啊 2019-10-24 16:31 0
xiaojixiao 雪币： 4811 活跃值： (3505) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	xiaojixiao 6 楼感谢分享，很详细的帖子；这脚本好多年不更新用起来还那么牢固；本人经过5个不同年代的文件测试，有的一次搞定，有的要修订OPE；总的来说是个好脚本，省了很多的时间和脑力 2019-11-20 22:51 0
sakkly 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	sakkly 7 楼 crc去得掉么. 感觉脱的不是很干净.虽然能调试了.但是依然在检测OD的断点. 2019-11-26 17:58 0
xie风腾雪币： 12332 活跃值： (5103) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 1065 粉丝 5 关注私信	xie风腾 8 楼好强大的脚本呀 2019-11-26 18:18 0
天地马龙雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	天地马龙 9 楼好强大的脚本,支持。 2019-11-28 15:40 0
CHYX 雪币： 101 活跃值： (92) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 55 粉丝 0 关注私信	CHYX 10 楼 Themida 2019-11-30 17:10 0
dennishb 雪币： 12415 活跃值： (3845) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 35 粉丝 0 关注私信	dennishb 11 楼谢谢分享，试了下64位系统好像不行呢 2019-12-9 09:54 0
沧凉之歌雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	沧凉之歌 12 楼文章有些地方看不懂，第一次暂停之后继续运行后又暂停就没了，没有弹出提示框 2019-12-9 19:38 0
沧凉之歌雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	沧凉之歌 13 楼 xiaojixiao 感谢分享，很详细的帖子；这脚本好多年不更新用起来还那么牢固；本人经过5个不同年代的文件测试，有的一次搞定，有的要修订OPE；总的来说是个好脚本，省了很多的时间和脑力[em_63] 你好，我在脱壳的时候被检测到了，不知道怎么解决，你能帮帮我吗？ 2019-12-9 20:25 0
zhonghuayi 雪币： 150 活跃值： (1105) 能力值： ( LV2，RANK：10 ) 在线值：发帖 28 回帖 103 粉丝 2 关注私信	zhonghuayi 14 楼文件没看到 2019-12-16 11:52 0
mb_iolthrdn 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	mb_iolthrdn 15 楼我想知道用什么去修改那个dll的路径呢 2019-12-19 01:30 0
jimxy 雪币： 8772 活跃值： (2564) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 92 粉丝 1 关注私信	jimxy 1 16 楼请问脱壳脚本（Themida - Winlicense Ultra Unpacker 1.4）在哪下载？ 2019-12-22 16:10 0
zzcl558 雪币： 882 活跃值： (81) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 19 粉丝 2 关注私信	zzcl558 17 楼你好！按你的教程脱tmd壳的时候，到提示修改OllyDBG.ini 关闭后继续，然后出来的窗口和你的不一样，你的出来是问要不要更多检查，我的出来是下面图片这样的，点了确定后出来像我这样应该要怎么弄？直接在OD里运行出来的是这样的提示教一下，非常感谢！ 2019-12-30 00:41 0
zzcl558 雪币： 882 活跃值： (81) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 19 粉丝 2 关注私信	zzcl558 18 楼 jimxy 请问脱壳脚本（Themida - Winlicense Ultra Unpacker 1.4）在哪下载？脚本我有，怎么传给你？ 2019-12-30 00:44 0
program杨雪币： 1182 活跃值： (954) 能力值： ( LV3，RANK：20 ) 在线值：发帖 15 回帖 74 粉丝 8 关注私信	program杨 19 楼 mb_eoovvcwq 脚本我有，怎么传给你？可以直接高级回复带附件 2020-1-3 22:20 0
zzcl558 雪币： 882 活跃值： (81) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 19 粉丝 2 关注私信	zzcl558 20 楼 program杨可以直接高级回复带附件好的，现在给你上传的附件： Themida - Winlicense Ultra Unpacker 1.4.txt （458.12kb，1125次下载） 2020-1-4 02:25 0
zzcl558 雪币： 882 活跃值： (81) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 19 粉丝 2 关注私信	zzcl558 21 楼 program杨可以直接高级回复带附件看错了，看成是你要了 2020-1-4 02:28 0
zzcl558 雪币： 882 活跃值： (81) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 19 粉丝 2 关注私信	zzcl558 22 楼 jimxy 请问脱壳脚本（Themida - Winlicense Ultra Unpacker 1.4）在哪下载？我已经传上来了 2020-1-4 02:29 0
program杨雪币： 1182 活跃值： (954) 能力值： ( LV3，RANK：20 ) 在线值：发帖 15 回帖 74 粉丝 8 关注私信	program杨 23 楼 mb_eoovvcwq 你好！按你的教程脱tmd壳的时候，到提示修改OllyDBG.ini 关闭后继续，然后出来的窗口和你的不一样，你的出来是问要不要更多检查，我的出来是下面图片这样的，点了确定后出来像我这样应该要怎么弄？直 ... 你的问题解决了么。我跟你的问题一样。error on lin 11232 2020-1-4 13:45 0
program杨雪币： 1182 活跃值： (954) 能力值： ( LV3，RANK：20 ) 在线值：发帖 15 回帖 74 粉丝 8 关注私信	program杨 24 楼 mb_eoovvcwq 你好！按你的教程脱tmd壳的时候，到提示修改OllyDBG.ini 关闭后继续，然后出来的窗口和你的不一样，你的出来是问要不要更多检查，我的出来是下面图片这样的，点了确定后出来像我这样应该要怎么弄？直 ... 请教楼主一个问题，希望楼主可以在百忙之中抽出时间解答一下。我在入下图一步点否以后，脚本运行了几秒左右停住了，没有出现任何提示，想请教 2020-1-4 14:04 0
zzcl558 雪币： 882 活跃值： (81) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 19 粉丝 2 关注私信	zzcl558 25 楼 program杨请教楼主一个问题，希望楼主可以在百忙之中抽出时间解答一下。我在入下图一步点否以后，脚本运行了几秒左右停住了，没有出现任何提示，想请教没有啊，楼主很忙，没空理我们呢，我们的一样，我的也是停在esto这里 2020-1-6 07:35 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

Hasic

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (42) 1 2 ▶
uvbs 雪币： 30 活跃值： (755) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 199 粉丝 2 关注私信	uvbs 2 楼这脚本好多年不更新用起来还那么牢固 2019-10-23 22:26 0
xingbing 雪币： 175 活跃值： (2526) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 1136 粉丝 2 关注私信	xingbing 3 楼看起来很厉害。学习学习。 2019-10-24 08:31 0
gamehack 雪币： 6095 活跃值： (5510) 能力值： ( LV5，RANK：65 ) 在线值：发帖 5 回帖 427 粉丝 18 关注私信	gamehack 4 楼感谢分享,收藏了! 2019-10-24 15:04 1
MsScotch 雪币： 3181 活跃值： (1796) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 338 粉丝 3 关注私信	MsScotch 5 楼你好骚啊 2019-10-24 16:31 0
xiaojixiao 雪币： 4811 活跃值： (3505) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	xiaojixiao 6 楼感谢分享，很详细的帖子；这脚本好多年不更新用起来还那么牢固；本人经过5个不同年代的文件测试，有的一次搞定，有的要修订OPE；总的来说是个好脚本，省了很多的时间和脑力 2019-11-20 22:51 0
sakkly 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	sakkly 7 楼 crc去得掉么. 感觉脱的不是很干净.虽然能调试了.但是依然在检测OD的断点. 2019-11-26 17:58 0
xie风腾雪币： 12332 活跃值： (5103) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 1065 粉丝 5 关注私信	xie风腾 8 楼好强大的脚本呀 2019-11-26 18:18 0
天地马龙雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	天地马龙 9 楼好强大的脚本,支持。 2019-11-28 15:40 0
CHYX 雪币： 101 活跃值： (92) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 55 粉丝 0 关注私信	CHYX 10 楼 Themida 2019-11-30 17:10 0
dennishb 雪币： 12415 活跃值： (3845) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 35 粉丝 0 关注私信	dennishb 11 楼谢谢分享，试了下64位系统好像不行呢 2019-12-9 09:54 0
沧凉之歌雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	沧凉之歌 12 楼文章有些地方看不懂，第一次暂停之后继续运行后又暂停就没了，没有弹出提示框 2019-12-9 19:38 0
沧凉之歌雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	沧凉之歌 13 楼 xiaojixiao 感谢分享，很详细的帖子；这脚本好多年不更新用起来还那么牢固；本人经过5个不同年代的文件测试，有的一次搞定，有的要修订OPE；总的来说是个好脚本，省了很多的时间和脑力[em_63] 你好，我在脱壳的时候被检测到了，不知道怎么解决，你能帮帮我吗？ 2019-12-9 20:25 0
zhonghuayi 雪币： 150 活跃值： (1105) 能力值： ( LV2，RANK：10 ) 在线值：发帖 28 回帖 103 粉丝 2 关注私信	zhonghuayi 14 楼文件没看到 2019-12-16 11:52 0
mb_iolthrdn 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	mb_iolthrdn 15 楼我想知道用什么去修改那个dll的路径呢 2019-12-19 01:30 0
jimxy 雪币： 8772 活跃值： (2564) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 92 粉丝 1 关注私信	jimxy 1 16 楼请问脱壳脚本（Themida - Winlicense Ultra Unpacker 1.4）在哪下载？ 2019-12-22 16:10 0
zzcl558 雪币： 882 活跃值： (81) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 19 粉丝 2 关注私信	zzcl558 17 楼你好！按你的教程脱tmd壳的时候，到提示修改OllyDBG.ini 关闭后继续，然后出来的窗口和你的不一样，你的出来是问要不要更多检查，我的出来是下面图片这样的，点了确定后出来像我这样应该要怎么弄？直接在OD里运行出来的是这样的提示教一下，非常感谢！ 2019-12-30 00:41 0
zzcl558 雪币： 882 活跃值： (81) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 19 粉丝 2 关注私信	zzcl558 18 楼 jimxy 请问脱壳脚本（Themida - Winlicense Ultra Unpacker 1.4）在哪下载？脚本我有，怎么传给你？ 2019-12-30 00:44 0
program杨雪币： 1182 活跃值： (954) 能力值： ( LV3，RANK：20 ) 在线值：发帖 15 回帖 74 粉丝 8 关注私信	program杨 19 楼 mb_eoovvcwq 脚本我有，怎么传给你？可以直接高级回复带附件 2020-1-3 22:20 0
zzcl558 雪币： 882 活跃值： (81) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 19 粉丝 2 关注私信	zzcl558 20 楼 program杨可以直接高级回复带附件好的，现在给你上传的附件： Themida - Winlicense Ultra Unpacker 1.4.txt （458.12kb，1125次下载） 2020-1-4 02:25 0
zzcl558 雪币： 882 活跃值： (81) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 19 粉丝 2 关注私信	zzcl558 21 楼 program杨可以直接高级回复带附件看错了，看成是你要了 2020-1-4 02:28 0
zzcl558 雪币： 882 活跃值： (81) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 19 粉丝 2 关注私信	zzcl558 22 楼 jimxy 请问脱壳脚本（Themida - Winlicense Ultra Unpacker 1.4）在哪下载？我已经传上来了 2020-1-4 02:29 0
program杨雪币： 1182 活跃值： (954) 能力值： ( LV3，RANK：20 ) 在线值：发帖 15 回帖 74 粉丝 8 关注私信	program杨 23 楼 mb_eoovvcwq 你好！按你的教程脱tmd壳的时候，到提示修改OllyDBG.ini 关闭后继续，然后出来的窗口和你的不一样，你的出来是问要不要更多检查，我的出来是下面图片这样的，点了确定后出来像我这样应该要怎么弄？直 ... 你的问题解决了么。我跟你的问题一样。error on lin 11232 2020-1-4 13:45 0
program杨雪币： 1182 活跃值： (954) 能力值： ( LV3，RANK：20 ) 在线值：发帖 15 回帖 74 粉丝 8 关注私信	program杨 24 楼 mb_eoovvcwq 你好！按你的教程脱tmd壳的时候，到提示修改OllyDBG.ini 关闭后继续，然后出来的窗口和你的不一样，你的出来是问要不要更多检查，我的出来是下面图片这样的，点了确定后出来像我这样应该要怎么弄？直 ... 请教楼主一个问题，希望楼主可以在百忙之中抽出时间解答一下。我在入下图一步点否以后，脚本运行了几秒左右停住了，没有出现任何提示，想请教 2020-1-4 14:04 0
zzcl558 雪币： 882 活跃值： (81) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 19 粉丝 2 关注私信	zzcl558 25 楼 program杨请教楼主一个问题，希望楼主可以在百忙之中抽出时间解答一下。我在入下图一步点否以后，脚本运行了几秒左右停住了，没有出现任何提示，想请教没有啊，楼主很忙，没空理我们呢，我们的一样，我的也是停在esto这里 2020-1-6 07:35 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复