首页
社区
课程
招聘
Thinstall.V2.7X.Single.Main.eXe.UnPacK Script
发表于: 2006-5-30 22:58 19175

Thinstall.V2.7X.Single.Main.eXe.UnPacK Script

fly 活跃值
85
2006-5-30 22:58
19175
收藏
免费 7
支持
分享
最新回复 (45)
雪    币: 11
活跃值: (213)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
26
最初由 lite 发布
用了一个取巧的方法(用thinstall.exe)取出了
thinstall.exe(v2.719)中的所有文件
good lucky

非常感谢fly的scriptor
........


请求共享成果
2006-6-10 20:00
0
雪    币: 130
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
27
1. Open Thinstall.exe
2. Input EXE/DLL
   C:\Program Files\Thinstall\thinstall.exe
3. Right Click-->Extraction & Caching-->Extract on program start
4. Build
5. Run this build
6. Open the "C:\Program Files\Thinstall\" folder.
2006-6-12 08:53
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
28
请问:Input file 里面填哪些
否则Right Click无法Extraction & Caching
2006-6-12 09:43
0
雪    币: 130
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
29
Project --> New
在New project Wizard中Browse
C:\Program Files\Thinstall\
Next

That's OK.
^_^
2006-6-12 11:28
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
30
以子之矛,攻子之盾
lite 好方法,解决了一个麻烦
thank
2006-6-12 13:30
0
雪    币: 130
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
31
fly
看算法比较痛苦
接下来看看call 00452320
IDA不太熟练
还有没有其他的更好的方法或者工具?

;-----------------------------------------
004E40B3  |.  68 400D4D00   PUSH thinstal.004D0D40                   ; |Arg2 = 004D0D40
004E40B8  |.  68 34665300   PUSH thinstal.00536634                   ; |Arg1 = 00536634 ASCII "build"
004E4353  |.  68 80B44E00   PUSH thinstal.004EB480                   ; |Arg2 = 004EB480
004E4358  |.  68 80645300   PUSH thinstal.00536480                   ; |Arg1 = 00536480 ASCII "enter_reg_key"
;-----------------------------------------
verify the reg:
0041A0C0  /$  55            PUSH EBP
0041A0C1  |.  8BEC          MOV EBP,ESP
0041A0C3  |.  83EC 08       SUB ESP,8
0041A0C6  |.  837D 08 00    CMP DWORD PTR SS:[EBP+8],0
0041A0CA  |.  74 11         JE SHORT thinstal.0041A0DD
0041A0CC  |.  8B45 08       MOV EAX,DWORD PTR SS:[EBP+8]
0041A0CF  |.  50            PUSH EAX                                 ; /Arg1
0041A0D0  |.  E8 EBA90200   CALL thinstal.00444AC0                   ; \;get reg len
0041A0D5  |.  83C4 04       ADD ESP,4
0041A0D8  |.  83F8 02       CMP EAX,2
0041A0DB  |.  7D 04         JGE SHORT thinstal.0041A0E1
0041A0DD  |>  32C0          XOR AL,AL
0041A0DF  |.  EB 61         JMP SHORT thinstal.0041A142
0041A0E1  |>  8B4D 08       MOV ECX,DWORD PTR SS:[EBP+8]
0041A0E4  |.  51            PUSH ECX                                 ; /Arg1
0041A0E5  |.  E8 D6A90200   CALL thinstal.00444AC0                   ; \;get reg len
0041A0EA  |.  83C4 04       ADD ESP,4
0041A0ED  |.  83E8 01       SUB EAX,1                                ;  ;reglen -1
0041A0F0  |.  50            PUSH EAX                                 ; /Arg2
0041A0F1  |.  8B55 08       MOV EDX,DWORD PTR SS:[EBP+8]             ; |
0041A0F4  |.  52            PUSH EDX                                 ; |Arg1
0041A0F5  |.  E8 76780300   CALL thinstal.00451970                   ; \thinstal.00451970
            byte a1 = 0, a2 = 0, a3 = 0, a4=0;
            for (int i = 0; i < serial.Length-1; i++)
            {
                a1 += Convert.ToByte(serial[i]);
                a2 += a1;
                a3 += a2;
                a4 += a3;
            }
            //ACE6B0AC
            Int32 crc= (a4 << 24) + (a3 << 16) + (a2 << 8) + a1;
0041A0FA  |.  83C4 08       ADD ESP,8
0041A0FD  |.  83E0 1F       AND EAX,1F
0041A100  |.  8845 FC       MOV BYTE PTR SS:[EBP-4],AL
0041A103  |.  C645 F8 00    MOV BYTE PTR SS:[EBP-8],0
0041A107  |.  6A 05         PUSH 5
0041A109  |.  8D45 F8       LEA EAX,DWORD PTR SS:[EBP-8]
0041A10C  |.  50            PUSH EAX
0041A10D  |.  8B4D 08       MOV ECX,DWORD PTR SS:[EBP+8]
0041A110  |.  51            PUSH ECX                                 ; /Arg1
0041A111  |.  E8 AAA90200   CALL thinstal.00444AC0                   ; \get reg len
0041A116  |.  83C4 04       ADD ESP,4
0041A119  |.  8B55 08       MOV EDX,DWORD PTR SS:[EBP+8]             ; |
0041A11C  |.  8D4402 FF     LEA EAX,DWORD PTR DS:[EDX+EAX-1]         ; |
0041A120  |.  50            PUSH EAX                                 ; |Arg1
0041A121  |.  E8 FA810300   CALL thinstal.00452320                   ; \thinstal.00452320
...........................................................

0041A126  |.  83C4 0C       ADD ESP,0C
0041A129  |.  8B4D F8       MOV ECX,DWORD PTR SS:[EBP-8]
0041A12C  |.  81E1 FF000000 AND ECX,0FF
0041A132  |.  8B55 FC       MOV EDX,DWORD PTR SS:[EBP-4]
0041A135  |.  81E2 FF000000 AND EDX,0FF
0041A13B  |.  33C0          XOR EAX,EAX
0041A13D  |.  3BCA          CMP ECX,EDX
0041A13F  |.  0F94C0        SETE AL
0041A142  |>  8BE5          MOV ESP,EBP
0041A144  |.  5D            POP EBP
0041A145  \.  C3            RETN
2006-6-12 14:06
0
雪    币: 427
活跃值: (412)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
32
                         1
2006-6-12 18:41
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
33
Thinstall V2.719 基本破解完毕
测试ing
2006-6-12 23:09
0
雪    币: 817
活跃值: (1927)
能力值: ( LV12,RANK:2670 )
在线值:
发帖
回帖
粉丝
34
期待fly的大作....先放个Thinstall.2719.试用版加壳后的程序
上传的附件:
2006-6-12 23:19
0
雪    币: 130
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
35
pfpf
有没有分析过程
学习学习
2006-6-12 23:24
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
36
最初由 KuNgBiM 发布
先放个Thinstall.2719.试用版加壳后的程序

加壳前的文件
上传的附件:
2006-6-12 23:51
0
雪    币: 11
活跃值: (213)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
37
嘿嘿,期待
2006-6-13 08:52
0
雪    币: 200
活跃值: (28)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
38
thinstall如果给程序加了注册码的话有希望干掉吗?我跟了一下,发现如果绕过注册的话解出来的原程序代码是有问题的
2006-6-13 09:47
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
39
强啊~~收藏先~
2006-6-13 13:17
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
40
I will try this.
2006-7-9 01:29
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
41
最初由 jules 发布
thinstall如果给程序加了注册码的话有希望干掉吗?我跟了一下,发现如果绕过注册的话解出来的原程序代码是有问题的

找个key
可以试运行
会省很多事
2006-7-9 01:31
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
42
如何判断是 thinstall 什么版本加的?
我有个thinstall捆绑主文件和2个dll的包,运行 2.7 script 特征都可以
找到,脚本提示dump的时候正好是右下角的 thinstall 提示解压主文件的时候,不过 lordpe dump出来的 size 只有21k, 应该有 2m 左右的

另外 oep 的查找也不正确,望 fly 指点?

源程序是 vc 的程序,查找 GetVersion 发现被调用了很多次
没啥头绪
2006-7-30 16:09
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
43
2006-8-1 19:38
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
44
下了备用,支持!
2006-8-2 10:59
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
45
fly你好,可以举例讲讲脱ASProtect 1.2x壳的方法吗?如何修复PE呢?谢谢
2006-11-20 16:51
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
46
最初由 shilling 发布
如何判断是 thinstall 什么版本加的?
我有个thinstall捆绑主文件和2个dll的包,运行 2.7 script 特征都可以
找到,脚本提示dump的时候正好是右下角的 thinstall 提示解压主文件的时候,不过 lordpe dump出来的 size 只有21k, 应该有 2m 左右的
另外 oep 的查找也不正确,望 fly 指点?
源程序是 vc 的程序,查找 GetVersion 发现被调用了很多次
没啥头绪

具体版本没有简单的标记
你可以用PEiD V0.94+特征库扫描看看
dump时注意LordPE的设置,可能还有其他捆绑的文件需要解压

TO longhorn:  
ASProtect的脱壳教程论坛里有很多的
2006-11-20 19:54
0
游客
登录 | 注册 方可回帖
返回
//