[讨论]如何判断Themida是否带驱？-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[讨论]如何判断Themida是否带驱？

发表于: 2006-6-11 00:42 6791

[讨论]如何判断Themida是否带驱？

fffddd

2006-6-11 00:42

6791

http://bbs.pediy.com/showthread.php?s=&threadid=25790
这个1.0.0.8带驱动吗？

是从about里看吗？

以前的相关讨论：http://bbs.pediy.com/showthread.php?s=&threadid=25994

或者根据netsowell版主的来判断？

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

收藏・0

免费・0

支持

最新回复 (23)
fffddd 雪币： 239 活跃值： (52) 能力值： ( LV3，RANK：20 ) 在线值：发帖 37 回帖 447 粉丝 1 关注私信	fffddd 2 楼根据netsowell版主的来判断刚下的1.5.3.0是带驱的？ 2006-6-11 00:43 0
fffddd 雪币： 239 活跃值： (52) 能力值： ( LV3，RANK：20 ) 在线值：发帖 37 回帖 447 粉丝 1 关注私信	fffddd 3 楼 sdk中的Registered功能如何用？我Test了一下。加了这个Registered SDK后用Themida来保护时Themida自己会非法操作而关闭。 2006-6-11 00:56 0
gkend 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 325 粉丝 0 关注私信	gkend 4 楼 themida带不带驱动判断： 1、用lordpe或winHEX不能读进程内存的即带驱动。 2、heXer说的用调试器Olly调试出现蓝屏就带驱动。 3、发现有VM的就是不带驱动的。 2006-6-11 07:12 0
wangshy 雪币： 446 活跃值： (758) 能力值： ( LV7，RANK：100 ) 在线值：发帖 39 回帖 614 粉丝 1 关注私信	wangshy 2 5 楼 hero 常用的方法 BSOD 2006-6-11 07:29 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 6 楼 bp CreateFileA看看是不是连接驱动去了 2006-6-11 10:03 0
nbw 雪币： 339 活跃值： (1510) 能力值： ( LV13，RANK：970 ) 在线值：发帖 141 回帖 2842 粉丝 23 关注私信	nbw 24 7 楼判断这个非常容易，只要把软件拿到我机器上跑以下，如果提示驱动加载错误，那肯定就用驱动了，如果没提示，那8成没用。我都碰上好几个次类软件了 2006-6-11 10:10 0
fffddd 雪币： 239 活跃值： (52) 能力值： ( LV3，RANK：20 ) 在线值：发帖 37 回帖 447 粉丝 1 关注私信	fffddd 8 楼哪麻烦你看看1.5.3.0是否是带驱的？还有一个问题，为什么拿到你机器上跑一下？你机器做什么设置了会有这个提示？我们的机器一跑就会在系统目录下生成那个.sys文件了。奇怪的是第一次会生成，如果马上删掉，再去打开程序就不会生成了。 2006-6-11 13:23 0
nbw 雪币： 339 活跃值： (1510) 能力值： ( LV13，RANK：970 ) 在线值：发帖 141 回帖 2842 粉丝 23 关注私信	nbw 24 9 楼最初由 fffddd* 发布* 哪麻烦你看看1.5.3.0是否是带驱的？还有一个问题，为什么拿到你机器上跑一下？你机器做什么设置了会有这个提示？我们的机器一跑就会在系统目录下生成那个.sys文件了。奇怪的是第一次会生成，如果马上删掉，再去打开程序就不会生成了。我的系统太垃圾了，状况很复杂，该能运行的运行不了，不该运行的都跑起来了。他在driver目录产生sys，那应该就是永了驱动乐吧 2006-6-11 14:47 0
netsowell 雪币： 342 活跃值： (323) 能力值： ( LV9，RANK：450 ) 在线值：发帖 77 回帖 554 粉丝 8 关注私信	netsowell 11 10 楼 1.5.3的可以带,可以不带,关键在于你有没有选择ring0-protection,你可以bp CreateFileA+2 然后F9看看有没有连接到\\.\Global\oreans32,如果有那么就是带驱的. 2006-6-11 15:51 0
berry 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 101 粉丝 0 关注私信	berry 11 楼最初由 netsowell* 发布* 1.5.3的可以带,可以不带,关键在于你有没有选择ring0-protection,你可以bp CreateFileA+2 然后F9看看有没有连接到\\.\Global\oreans32,如果有那么就是带驱的. 不对啊，以前的没有驱动的版本也有这个选项阿 2006-6-11 17:41 0
option 雪币： 8185 活跃值： (2681) 能力值： ( LV2，RANK：10 ) 在线值：发帖 39 回帖 713 粉丝 1 关注私信	option 12 楼在system32\driver下有两个一个oreans.sys,一个oreans32.sys 2006-6-11 17:56 0
aspower 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	aspower 13 楼 heXer说的用调试器Olly调试出现蓝屏就带驱动。 edu a ! 2006-6-11 18:37 0
fffddd 雪币： 239 活跃值： (52) 能力值： ( LV3，RANK：20 ) 在线值：发帖 37 回帖 447 粉丝 1 关注私信	fffddd 14 楼最初由 netsowell* 发布* 1.5.3的可以带,可以不带,关键在于你有没有选择ring0-protection,你可以bp CreateFileA+2 然后F9看看有没有连接到\\.\Global\oreans32,如果有那么就是带驱的. 正如11楼berry所说。我看了一下我拥的版本都有这个选项。难道都是带驱动的？还有一个现象第一次运行themida时才会在drivers目录下生成oreans32.sys。如果立即去把这个oreans32.sys删掉。再运行themida时就不会生成了。除非重新启机，然后启机后现象又同上。 2006-6-11 19:21 0
netsowell 雪币： 342 活跃值： (323) 能力值： ( LV9，RANK：450 ) 在线值：发帖 77 回帖 554 粉丝 8 关注私信	netsowell 11 15 楼 bp CreateFileA+2看看。连接了，然后会立即DeviceIoControl那么肯定使用了驱动，你运行一次后驱动就被装入内存了，这时驱动文件删除了也不影响驱动的工作，因为驱动和一般软件工作方式不同。还有，使用了驱动并不意味着程序会被拉到ring0下运行，好象新版本的themida使用了驱动但是不拉程序到ring0下运行，我估计是为了兼容和稳定。 2006-6-11 19:31 0
fffddd 雪币： 239 活跃值： (52) 能力值： ( LV3，RANK：20 ) 在线值：发帖 37 回帖 447 粉丝 1 关注私信	fffddd 16 楼万一是带驱的这样下断是要要蓝屏的，我不敢试。谁在虚拟机上试一下？ 2006-6-12 17:42 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 17 楼首先要看看有没有蛆在电脑屏幕上爬。 2006-6-12 18:03 0
gkend 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 325 粉丝 0 关注私信	gkend 18 楼最初由 netsowell* 发布* 1.5.3的可以带,可以不带,关键在于你有没有选择ring0-protection,你可以bp CreateFileA+2 然后F9看看有没有连接到\\.\Global\oreans32,如果有那么就是带驱的. 凡是带VM的themida都不带驱动。虽然以后版本的themida也释放一个驱动到系统目录，但是并没有使用。估计作者没有修改壳代码或懒得修改。虽然有ring0-protection选项，但是没有用。如果通过调试来判断是否带驱，有很多方法。通过表面来判断，就是用winHEX或loadpe来dump,看是否能dump.这个简单易行。 2006-6-12 20:46 0
netsowell 雪币： 342 活跃值： (323) 能力值： ( LV9，RANK：450 ) 在线值：发帖 77 回帖 554 粉丝 8 关注私信	netsowell 11 19 楼最初由 gkend* 发布* 凡是带VM的themida都不带驱动。虽然以后版本的themida也释放一个驱动到系统目录，但是并没有使用。估计作者没有修改壳代码或懒得修改。虽然有ring0-protection选项，但是没有用。如果通过调试来判断是否带驱，有很多方法。通过表面来判断，就是用winHEX或loadpe来dump,看是否能dump.这个简单易行。使用了驱动不一定就不能dump 2006-6-12 20:50 0
gkend 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 325 粉丝 0 关注私信	gkend 20 楼最初由 netsowell* 发布* 使用了驱动不一定就不能dump 你不要断章取义。在没有使用其它任何工具的前提下，用winhex或loadpe你能dump? 目前，使用带驱动的themida要dump不外乎2个： 1、进入ring0修改themida加载的驱动代码，或自己写驱动进行DUMP。 2、注入DLL进行DUMP. 2006-6-12 21:06 0
hhxx26 雪币： 11 活跃值： (183) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 92 粉丝 1 关注私信	hhxx26 21 楼最初由 gkend* 发布* 你不要断章取义。在没有使用其它任何工具的前提下，用winhex或loadpe你能dump? 目前，使用带驱动的themida要dump不外乎2个： 1、进入ring0修改themida加载的驱动代码，或自己写驱动进行DUMP。 2、注入DLL进行DUMP. 长见识了 2006-6-13 12:03 0
netsowell 雪币： 342 活跃值： (323) 能力值： ( LV9，RANK：450 ) 在线值：发帖 77 回帖 554 粉丝 8 关注私信	netsowell 11 22 楼最初由 gkend* 发布* 你不要断章取义。在没有使用其它任何工具的前提下，用winhex或loadpe你能dump? 目前，使用带驱动的themida要dump不外乎2个： 1、进入ring0修改themida加载的驱动代码，或自己写驱动进行DUMP。 2、注入DLL进行DUMP. 你误解了,我的意思是说themida最新版使用了驱动但还是能直接dump 2006-6-13 12:11 0
fffddd 雪币： 239 活跃值： (52) 能力值： ( LV3，RANK：20 ) 在线值：发帖 37 回帖 447 粉丝 1 关注私信	fffddd 23 楼最初由 gkend* 发布* 凡是带VM的themida都不带驱动。虽然以后版本的themida也释放一个驱动到系统目录，但是并没有使用。估计作者没有修改壳代码或懒得修改。虽然有ring0-protection选项，但是没有用。如果通过调试来判断是否带驱，有很多方法。通过表面来判断，就是用winHEX或loadpe来dump,看是否能dump.这个简单易行。你是从哪得到的资料“凡是带VM的themida都不带驱动。”或者你是如何判断出这个结果的？你说的带VM是不是那个VM选项？有这个选项就是不带驱的？ 2006-6-13 13:12 0
gkend 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 325 粉丝 0 关注私信	gkend 24 楼最初由 netsowell* 发布* 你误解了,我的意思是说themida最新版使用了驱动但还是能直接dump 还有最新的？最新的不就是1.5.3?themida1.5.3哪里使用了驱动？themida1.5.3根本就没有用驱动。 2006-6-13 20:06 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

fffddd

发帖

447

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (23)
fffddd 雪币： 239 活跃值： (52) 能力值： ( LV3，RANK：20 ) 在线值：发帖 37 回帖 447 粉丝 1 关注私信	fffddd 2 楼根据netsowell版主的来判断刚下的1.5.3.0是带驱的？ 2006-6-11 00:43 0
fffddd 雪币： 239 活跃值： (52) 能力值： ( LV3，RANK：20 ) 在线值：发帖 37 回帖 447 粉丝 1 关注私信	fffddd 3 楼 sdk中的Registered功能如何用？我Test了一下。加了这个Registered SDK后用Themida来保护时Themida自己会非法操作而关闭。 2006-6-11 00:56 0
gkend 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 325 粉丝 0 关注私信	gkend 4 楼 themida带不带驱动判断： 1、用lordpe或winHEX不能读进程内存的即带驱动。 2、heXer说的用调试器Olly调试出现蓝屏就带驱动。 3、发现有VM的就是不带驱动的。 2006-6-11 07:12 0
wangshy 雪币： 446 活跃值： (758) 能力值： ( LV7，RANK：100 ) 在线值：发帖 39 回帖 614 粉丝 1 关注私信	wangshy 2 5 楼 hero 常用的方法 BSOD 2006-6-11 07:29 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 6 楼 bp CreateFileA看看是不是连接驱动去了 2006-6-11 10:03 0
nbw 雪币： 339 活跃值： (1510) 能力值： ( LV13，RANK：970 ) 在线值：发帖 141 回帖 2842 粉丝 23 关注私信	nbw 24 7 楼判断这个非常容易，只要把软件拿到我机器上跑以下，如果提示驱动加载错误，那肯定就用驱动了，如果没提示，那8成没用。我都碰上好几个次类软件了 2006-6-11 10:10 0
fffddd 雪币： 239 活跃值： (52) 能力值： ( LV3，RANK：20 ) 在线值：发帖 37 回帖 447 粉丝 1 关注私信	fffddd 8 楼哪麻烦你看看1.5.3.0是否是带驱的？还有一个问题，为什么拿到你机器上跑一下？你机器做什么设置了会有这个提示？我们的机器一跑就会在系统目录下生成那个.sys文件了。奇怪的是第一次会生成，如果马上删掉，再去打开程序就不会生成了。 2006-6-11 13:23 0
nbw 雪币： 339 活跃值： (1510) 能力值： ( LV13，RANK：970 ) 在线值：发帖 141 回帖 2842 粉丝 23 关注私信	nbw 24 9 楼最初由 fffddd* 发布* 哪麻烦你看看1.5.3.0是否是带驱的？还有一个问题，为什么拿到你机器上跑一下？你机器做什么设置了会有这个提示？我们的机器一跑就会在系统目录下生成那个.sys文件了。奇怪的是第一次会生成，如果马上删掉，再去打开程序就不会生成了。我的系统太垃圾了，状况很复杂，该能运行的运行不了，不该运行的都跑起来了。他在driver目录产生sys，那应该就是永了驱动乐吧 2006-6-11 14:47 0
netsowell 雪币： 342 活跃值： (323) 能力值： ( LV9，RANK：450 ) 在线值：发帖 77 回帖 554 粉丝 8 关注私信	netsowell 11 10 楼 1.5.3的可以带,可以不带,关键在于你有没有选择ring0-protection,你可以bp CreateFileA+2 然后F9看看有没有连接到\\.\Global\oreans32,如果有那么就是带驱的. 2006-6-11 15:51 0
berry 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 101 粉丝 0 关注私信	berry 11 楼最初由 netsowell* 发布* 1.5.3的可以带,可以不带,关键在于你有没有选择ring0-protection,你可以bp CreateFileA+2 然后F9看看有没有连接到\\.\Global\oreans32,如果有那么就是带驱的. 不对啊，以前的没有驱动的版本也有这个选项阿 2006-6-11 17:41 0
option 雪币： 8185 活跃值： (2681) 能力值： ( LV2，RANK：10 ) 在线值：发帖 39 回帖 713 粉丝 1 关注私信	option 12 楼在system32\driver下有两个一个oreans.sys,一个oreans32.sys 2006-6-11 17:56 0
aspower 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	aspower 13 楼 heXer说的用调试器Olly调试出现蓝屏就带驱动。 edu a ! 2006-6-11 18:37 0
fffddd 雪币： 239 活跃值： (52) 能力值： ( LV3，RANK：20 ) 在线值：发帖 37 回帖 447 粉丝 1 关注私信	fffddd 14 楼最初由 netsowell* 发布* 1.5.3的可以带,可以不带,关键在于你有没有选择ring0-protection,你可以bp CreateFileA+2 然后F9看看有没有连接到\\.\Global\oreans32,如果有那么就是带驱的. 正如11楼berry所说。我看了一下我拥的版本都有这个选项。难道都是带驱动的？还有一个现象第一次运行themida时才会在drivers目录下生成oreans32.sys。如果立即去把这个oreans32.sys删掉。再运行themida时就不会生成了。除非重新启机，然后启机后现象又同上。 2006-6-11 19:21 0
netsowell 雪币： 342 活跃值： (323) 能力值： ( LV9，RANK：450 ) 在线值：发帖 77 回帖 554 粉丝 8 关注私信	netsowell 11 15 楼 bp CreateFileA+2看看。连接了，然后会立即DeviceIoControl那么肯定使用了驱动，你运行一次后驱动就被装入内存了，这时驱动文件删除了也不影响驱动的工作，因为驱动和一般软件工作方式不同。还有，使用了驱动并不意味着程序会被拉到ring0下运行，好象新版本的themida使用了驱动但是不拉程序到ring0下运行，我估计是为了兼容和稳定。 2006-6-11 19:31 0
fffddd 雪币： 239 活跃值： (52) 能力值： ( LV3，RANK：20 ) 在线值：发帖 37 回帖 447 粉丝 1 关注私信	fffddd 16 楼万一是带驱的这样下断是要要蓝屏的，我不敢试。谁在虚拟机上试一下？ 2006-6-12 17:42 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 17 楼首先要看看有没有蛆在电脑屏幕上爬。 2006-6-12 18:03 0
gkend 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 325 粉丝 0 关注私信	gkend 18 楼最初由 netsowell* 发布* 1.5.3的可以带,可以不带,关键在于你有没有选择ring0-protection,你可以bp CreateFileA+2 然后F9看看有没有连接到\\.\Global\oreans32,如果有那么就是带驱的. 凡是带VM的themida都不带驱动。虽然以后版本的themida也释放一个驱动到系统目录，但是并没有使用。估计作者没有修改壳代码或懒得修改。虽然有ring0-protection选项，但是没有用。如果通过调试来判断是否带驱，有很多方法。通过表面来判断，就是用winHEX或loadpe来dump,看是否能dump.这个简单易行。 2006-6-12 20:46 0
netsowell 雪币： 342 活跃值： (323) 能力值： ( LV9，RANK：450 ) 在线值：发帖 77 回帖 554 粉丝 8 关注私信	netsowell 11 19 楼最初由 gkend* 发布* 凡是带VM的themida都不带驱动。虽然以后版本的themida也释放一个驱动到系统目录，但是并没有使用。估计作者没有修改壳代码或懒得修改。虽然有ring0-protection选项，但是没有用。如果通过调试来判断是否带驱，有很多方法。通过表面来判断，就是用winHEX或loadpe来dump,看是否能dump.这个简单易行。使用了驱动不一定就不能dump 2006-6-12 20:50 0
gkend 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 325 粉丝 0 关注私信	gkend 20 楼最初由 netsowell* 发布* 使用了驱动不一定就不能dump 你不要断章取义。在没有使用其它任何工具的前提下，用winhex或loadpe你能dump? 目前，使用带驱动的themida要dump不外乎2个： 1、进入ring0修改themida加载的驱动代码，或自己写驱动进行DUMP。 2、注入DLL进行DUMP. 2006-6-12 21:06 0
hhxx26 雪币： 11 活跃值： (183) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 92 粉丝 1 关注私信	hhxx26 21 楼最初由 gkend* 发布* 你不要断章取义。在没有使用其它任何工具的前提下，用winhex或loadpe你能dump? 目前，使用带驱动的themida要dump不外乎2个： 1、进入ring0修改themida加载的驱动代码，或自己写驱动进行DUMP。 2、注入DLL进行DUMP. 长见识了 2006-6-13 12:03 0
netsowell 雪币： 342 活跃值： (323) 能力值： ( LV9，RANK：450 ) 在线值：发帖 77 回帖 554 粉丝 8 关注私信	netsowell 11 22 楼最初由 gkend* 发布* 你不要断章取义。在没有使用其它任何工具的前提下，用winhex或loadpe你能dump? 目前，使用带驱动的themida要dump不外乎2个： 1、进入ring0修改themida加载的驱动代码，或自己写驱动进行DUMP。 2、注入DLL进行DUMP. 你误解了,我的意思是说themida最新版使用了驱动但还是能直接dump 2006-6-13 12:11 0
fffddd 雪币： 239 活跃值： (52) 能力值： ( LV3，RANK：20 ) 在线值：发帖 37 回帖 447 粉丝 1 关注私信	fffddd 23 楼最初由 gkend* 发布* 凡是带VM的themida都不带驱动。虽然以后版本的themida也释放一个驱动到系统目录，但是并没有使用。估计作者没有修改壳代码或懒得修改。虽然有ring0-protection选项，但是没有用。如果通过调试来判断是否带驱，有很多方法。通过表面来判断，就是用winHEX或loadpe来dump,看是否能dump.这个简单易行。你是从哪得到的资料“凡是带VM的themida都不带驱动。”或者你是如何判断出这个结果的？你说的带VM是不是那个VM选项？有这个选项就是不带驱的？ 2006-6-13 13:12 0
gkend 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 325 粉丝 0 关注私信	gkend 24 楼最初由 netsowell* 发布* 你误解了,我的意思是说themida最新版使用了驱动但还是能直接dump 还有最新的？最新的不就是1.5.3?themida1.5.3哪里使用了驱动？themida1.5.3根本就没有用驱动。 2006-6-13 20:06 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复