能力值:
( LV2,RANK:10 )
26 楼
最初由 lite 发布 用了一个取巧的方法(用thinstall.exe)取出了 thinstall.exe(v2.719)中的所有文件 good lucky 非常感谢fly的scriptor ........
请求共享成果
能力值:
( LV2,RANK:10 )
27 楼
1. Open Thinstall.exe
2. Input EXE/DLL
C:\Program Files\Thinstall\thinstall.exe
3. Right Click-->Extraction & Caching-->Extract on program start
4. Build
5. Run this build
6. Open the "C:\Program Files\Thinstall\" folder.
能力值:
( LV9,RANK:3410 )
28 楼
请问:Input file 里面填哪些
否则Right Click无法Extraction & Caching
能力值:
( LV2,RANK:10 )
29 楼
Project --> New
在New project Wizard中Browse
C:\Program Files\Thinstall\
Next
That's OK.
^_^
能力值:
( LV9,RANK:3410 )
30 楼
以子之矛,攻子之盾
lite 好方法,解决了一个麻烦
thank
能力值:
( LV2,RANK:10 )
31 楼
fly
看算法比较痛苦
接下来看看call 00452320
IDA不太熟练
还有没有其他的更好的方法或者工具?
;-----------------------------------------
004E40B3 |. 68 400D4D00 PUSH thinstal.004D0D40 ; |Arg2 = 004D0D40
004E40B8 |. 68 34665300 PUSH thinstal.00536634 ; |Arg1 = 00536634 ASCII "build"
004E4353 |. 68 80B44E00 PUSH thinstal.004EB480 ; |Arg2 = 004EB480
004E4358 |. 68 80645300 PUSH thinstal.00536480 ; |Arg1 = 00536480 ASCII "enter_reg_key"
;-----------------------------------------
verify the reg:
0041A0C0 /$ 55 PUSH EBP
0041A0C1 |. 8BEC MOV EBP,ESP
0041A0C3 |. 83EC 08 SUB ESP,8
0041A0C6 |. 837D 08 00 CMP DWORD PTR SS:[EBP+8],0
0041A0CA |. 74 11 JE SHORT thinstal.0041A0DD
0041A0CC |. 8B45 08 MOV EAX,DWORD PTR SS:[EBP+8]
0041A0CF |. 50 PUSH EAX ; /Arg1
0041A0D0 |. E8 EBA90200 CALL thinstal.00444AC0 ; \;get reg len
0041A0D5 |. 83C4 04 ADD ESP,4
0041A0D8 |. 83F8 02 CMP EAX,2
0041A0DB |. 7D 04 JGE SHORT thinstal.0041A0E1
0041A0DD |> 32C0 XOR AL,AL
0041A0DF |. EB 61 JMP SHORT thinstal.0041A142
0041A0E1 |> 8B4D 08 MOV ECX,DWORD PTR SS:[EBP+8]
0041A0E4 |. 51 PUSH ECX ; /Arg1
0041A0E5 |. E8 D6A90200 CALL thinstal.00444AC0 ; \;get reg len
0041A0EA |. 83C4 04 ADD ESP,4
0041A0ED |. 83E8 01 SUB EAX,1 ; ;reglen -1
0041A0F0 |. 50 PUSH EAX ; /Arg2
0041A0F1 |. 8B55 08 MOV EDX,DWORD PTR SS:[EBP+8] ; |
0041A0F4 |. 52 PUSH EDX ; |Arg1
0041A0F5 |. E8 76780300 CALL thinstal.00451970 ; \thinstal.00451970
byte a1 = 0, a2 = 0, a3 = 0, a4=0;
for (int i = 0; i < serial.Length-1; i++)
{
a1 += Convert.ToByte(serial[i]);
a2 += a1;
a3 += a2;
a4 += a3;
}
//ACE6B0AC
Int32 crc= (a4 << 24) + (a3 << 16) + (a2 << 8) + a1;
0041A0FA |. 83C4 08 ADD ESP,8
0041A0FD |. 83E0 1F AND EAX,1F
0041A100 |. 8845 FC MOV BYTE PTR SS:[EBP-4],AL
0041A103 |. C645 F8 00 MOV BYTE PTR SS:[EBP-8],0
0041A107 |. 6A 05 PUSH 5
0041A109 |. 8D45 F8 LEA EAX,DWORD PTR SS:[EBP-8]
0041A10C |. 50 PUSH EAX
0041A10D |. 8B4D 08 MOV ECX,DWORD PTR SS:[EBP+8]
0041A110 |. 51 PUSH ECX ; /Arg1
0041A111 |. E8 AAA90200 CALL thinstal.00444AC0 ; \get reg len
0041A116 |. 83C4 04 ADD ESP,4
0041A119 |. 8B55 08 MOV EDX,DWORD PTR SS:[EBP+8] ; |
0041A11C |. 8D4402 FF LEA EAX,DWORD PTR DS:[EDX+EAX-1] ; |
0041A120 |. 50 PUSH EAX ; |Arg1
0041A121 |. E8 FA810300 CALL thinstal.00452320 ; \thinstal.00452320
...........................................................
0041A126 |. 83C4 0C ADD ESP,0C
0041A129 |. 8B4D F8 MOV ECX,DWORD PTR SS:[EBP-8]
0041A12C |. 81E1 FF000000 AND ECX,0FF
0041A132 |. 8B55 FC MOV EDX,DWORD PTR SS:[EBP-4]
0041A135 |. 81E2 FF000000 AND EDX,0FF
0041A13B |. 33C0 XOR EAX,EAX
0041A13D |. 3BCA CMP ECX,EDX
0041A13F |. 0F94C0 SETE AL
0041A142 |> 8BE5 MOV ESP,EBP
0041A144 |. 5D POP EBP
0041A145 \. C3 RETN
能力值:
( LV2,RANK:10 )
32 楼
1
能力值:
( LV9,RANK:3410 )
33 楼
Thinstall V2.719 基本破解完毕
测试ing
能力值:
( LV12,RANK:2670 )
34 楼
期待fly的大作....先放个Thinstall.2719.试用版加壳后的程序
上传的附件:
能力值:
( LV2,RANK:10 )
35 楼
pfpf
有没有分析过程
学习学习
能力值:
( LV9,RANK:3410 )
36 楼
最初由 KuNgBiM 发布 先放个Thinstall.2719.试用版加壳后的程序
加壳前的文件
上传的附件:
能力值:
( LV2,RANK:10 )
37 楼
嘿嘿,期待
能力值:
( LV2,RANK:10 )
38 楼
thinstall如果给程序加了注册码的话有希望干掉吗?我跟了一下,发现如果绕过注册的话解出来的原程序代码是有问题的
能力值:
( LV2,RANK:10 )
39 楼
强啊~~收藏先~
能力值:
( LV2,RANK:10 )
40 楼
I will try this.
能力值:
( LV9,RANK:3410 )
41 楼
最初由 jules 发布 thinstall如果给程序加了注册码的话有希望干掉吗?我跟了一下,发现如果绕过注册的话解出来的原程序代码是有问题的
找个key
可以试运行
会省很多事
能力值:
( LV2,RANK:10 )
42 楼
如何判断是 thinstall 什么版本加的?
我有个thinstall捆绑主文件和2个dll的包,运行 2.7 script 特征都可以
找到,脚本提示dump的时候正好是右下角的 thinstall 提示解压主文件的时候,不过 lordpe dump出来的 size 只有21k, 应该有 2m 左右的
另外 oep 的查找也不正确,望 fly 指点?
源程序是 vc 的程序,查找 GetVersion 发现被调用了很多次
没啥头绪
能力值:
( LV2,RANK:10 )
43 楼
能力值:
( LV2,RANK:10 )
44 楼
下了备用,支持!
能力值:
( LV2,RANK:10 )
45 楼
fly你好,可以举例讲讲脱ASProtect 1.2x壳的方法吗?如何修复PE呢?谢谢
能力值:
( LV9,RANK:3410 )
46 楼
最初由 shilling 发布 如何判断是 thinstall 什么版本加的? 我有个thinstall捆绑主文件和2个dll的包,运行 2.7 script 特征都可以 找到,脚本提示dump的时候正好是右下角的 thinstall 提示解压主文件的时候,不过 lordpe dump出来的 size 只有21k, 应该有 2m 左右的 另外 oep 的查找也不正确,望 fly 指点? 源程序是 vc 的程序,查找 GetVersion 发现被调用了很多次 没啥头绪
具体版本没有简单的标记
你可以用PEiD V0.94+特征库扫描看看
dump时注意LordPE的设置,可能还有其他捆绑的文件需要解压
TO longhorn:
ASProtect的脱壳教程论坛里有很多的