再谈 TheMida v1.0.0.5 的脱壳问题-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

再谈 TheMida v1.0.0.5 的脱壳问题

发表于: 2006-10-6 22:19 12432

再谈 TheMida v1.0.0.5 的脱壳问题

geodiy

2006-10-6 22:19

12432

很不巧，今天PEid发现一个TheMida v1.0.0.5的壳，OD一搞就被翻了啊，怎么办呢？于是乎:

把整个看雪论坛翻了个遍，终于得出了这样一个结论：前辈们似乎都一致认为TheMida v1.0.0.5加的壳是不可脱的；

可是，有两篇关于他的文章，如下：《对付themida 的工具及文章》、《TheMida_defeating_ring0》，说得头头是道，那是不是真的不可脱呀？？？可是我很想脱呀，这个软件有人很想用用啊？？？

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

收藏・0

免费・0

支持

最新回复 (32) 1 2 ▶
geodiy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 26 粉丝 0 关注私信	geodiy 2 楼 TheMida v1.0.0.5升级，是因为他被Crack了，意味这些小软件的作者们都可以用这个强壳来加壳了；要是现在所有的小软件都用她加壳的话, 是不是我们这行业很多人就失业了哦。郁闷中... （杞人忧天...）那为什么还是有绝大部分小软件的作者们不用这个TheMida来加壳呢？？？奇怪中.... 呵呵，是因为他们不知道有这个强壳啦.... 2006-10-6 23:04 0
kanxue 雪币： 47147 活跃值： (20380) 能力值： (RANK：350 ) 在线值：发帖 2374 回帖 17045 粉丝 538 关注私信	kanxue 8 3 楼最初由 geodiy* 发布* 那为什么还是有绝大部分小软件的作者们不用这个TheMida来加壳呢？？？奇怪中.... 呵呵，是因为他们不知道有这个强壳啦.... ........ 不用是因为其稳定性和兼容性不是太好，如果经常听到用户反馈蓝屏问题，我想你头会大的。 2006-10-7 10:15 0
geodiy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 26 粉丝 0 关注私信	geodiy 4 楼感谢坛主的指点；还是想聊聊其脱壳的问题： 1、TheMida防止调试，idt被其修改。 int 1，int 3 被修改为0xffffff, 这个是可以恢复过来；int 0x0e被修改他自己的例程，也可以还原过来； 2、TheMida防止内存被读取和修改，sdt被其修改，我看别人说也可以dump出来，修改为不执行它的代码，直接执行原来的，也可以； 3、KeAttachProcess和vsprintf不知道他又作了些什么； 4、TheMida为防止恢复以上的修改，据说又加了16个（还是24个）线程不断检测，一发现被修改就马上蓝屏，这也许是被加壳软件常常蓝屏的原因吧。如果我们停止它的监测线程，是不是就可以恢复了呢？ 5、不过，stolen的代码怎么办呢？有同志说用挂接 TerimateProcess,这时代码都执行了一遍，被stolen的代码也已经恢复了，是不是就可以dump任何东西了呢？（oep就被stolen了） 6、还有些牛人已经模拟了驱动，还有些人分析了虚拟机机制都这样了，应该很清晰了，为啥我们的牛人们，没有搞出来呢？呵呵：），看来是不消一顾了 .... 可是现在还是有那么一些家伙用它来加壳，难道就任其逍遥吗？ ... 这个世界级难题... ... 2006-10-7 11:14 0
hxx 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 189 粉丝 0 关注私信	hxx 5 楼 Themida V1.3.5.5加的壳都很多人能脱了。 TheMida v1.0.0.5fly版主写过脱文 2006-10-7 14:34 0
geodiy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 26 粉丝 0 关注私信	geodiy 6 楼哈，原来有哈，我找找看，要是没找到的话，请给各链接的地址吧。 2006-10-7 14:47 0
geodiy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 26 粉丝 0 关注私信	geodiy 7 楼呵呵，找到了 fly 老大的文章，不过他是用的TheMida 1.1.1.0的，且无驱动，难度降低不少；不过倒是可以供后来人参考。 2006-10-7 20:41 0
djpvd 雪币： 320 活跃值： (104) 能力值： (RANK：180 ) 在线值：发帖 133 回帖 447 粉丝 2 关注私信	djpvd 4 8 楼最初由 geodiy* 发布* 感谢坛主的指点；还是想聊聊其脱壳的问题： 1、TheMida防止调试，idt被其修改。 int 1，int 3 被修改为0xffffff, 这个是可以恢复过来；int 0x0e被修改他自己的例程，也可以还原过来； ........ 很多外?都用他加? 膣不成又是跟外?有晷如果是有人?了他的? 那他??就倒了吧白花花的泫子也杂就?此?送 ... 像是之前 hying ..只是推?.... 2006-10-7 22:54 0
goodcode 雪币： 67 活跃值： (66) 能力值： ( LV7，RANK：100 ) 在线值：发帖 19 回帖 289 粉丝 2 关注私信	goodcode 2 9 楼任意版本PEID的签名都是一样吧考虑过买WinLicense但是折合人民币还是不便宜防止的不是你破击而是破解的时间如果在预设时间内软件没有被破解那么目的就达到了 2006-10-7 23:24 0
djpvd 雪币： 320 活跃值： (104) 能力值： (RANK：180 ) 在线值：发帖 133 回帖 447 粉丝 2 关注私信	djpvd 4 10 楼有一?小办?了 ???代瘁部分先用OD蒌入 Shift+F9 哕行到代瘁段的地方查看哪彦是???屏蔽代瘁的地方例如是00402210 然後重新蒌入先下 Hw 00402210 停在一??似 rep movs byte ptr es:[edi],byte ptr ds:[esi> 代瘁的地方按右嫔在??窗口中跟胗 ?出???位址然後跟咄其中一?不是0040xxxx的位址也就是要?入0040xxxx?存放代瘁的地方例如是 02Bxxxxx 呃?候要?入0040xxx的是 ???屏蔽的代瘁然後再重新蒌入下Hr 02Bxxxxx 一? 到 rep movs 的代瘁? 一?有??位址一?是正催的代瘁一?是要取代正催代瘁的???代瘁呃只是我的推? 可以?看看 2006-10-8 22:07 0
geodiy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 26 粉丝 0 关注私信	geodiy 11 楼两天不来，又有新发现了哈，大家努力！这两天都想了些歪主意，想绕过TheMida（去Hook API），结果发现这条路是走不通，便又绕回来了。还是要脱，不脱不行的。大家继续研究，一定要搞定他。 2006-10-10 23:57 0
djpvd 雪币： 320 活跃值： (104) 能力值： (RANK：180 ) 在线值：发帖 133 回帖 447 粉丝 2 关注私信	djpvd 4 12 楼分析邋锗不咿可以催定的是在他?入401000之前他?先?到一?Memory空殓在呃?Memory空殓他已?把屏蔽的VM代瘁?好在彦面了在他?入呃?空殓之前可能中殓的咿程有所不同吧不?得有?有解VM代瘁的相晷技戌文件哪肺遮言都可以一有?殓就是在檫著OD看著themida的代瘁看到钷?在很痛 2006-10-11 00:11 0
geodiy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 26 粉丝 0 关注私信	geodiy 13 楼在 AntiThemida 里面有一段代码，实现了加壳程序的注入DLL，可以试试是否可以通过DLL注入来Dump ：）每天花一个小时来研究 TheMida 1.0.0.5, 不信搞不掉这个东东。 2006-10-11 15:41 0
geodiy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 26 粉丝 0 关注私信	geodiy 14 楼注入DLL后，得到所有的线程，然后将其都suspend, 然后再恢复sdt 和 idt, 现在就可以用OD挂接了吧， Come on, baby.... 2006-10-11 15:46 0
badbbs 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	badbbs 15 楼这么好的题目没人关心吗？ 2006-10-11 22:39 0
geodiy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 26 粉丝 0 关注私信	geodiy 16 楼今天来,只是为了up一下~~ 2006-10-12 10:59 0
djpvd 雪币： 320 活跃值： (104) 能力值： (RANK：180 ) 在线值：发帖 133 回帖 447 粉丝 2 关注私信	djpvd 4 17 楼 up up... ?在最大的?铨 ??就是VM代瘁吧... 到看雪得到的以?息?基盗.以事件??之然後...破之解之鄙?之就能???是吧真的容易做的?很膣.. 埃...擂理吧... 2006-10-12 13:06 0
bloodt 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 27 粉丝 0 关注私信	bloodt 18 楼 sustain！ 2006-10-12 18:17 0
木其雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	木其 19 楼走过，看看…… 2006-10-12 21:29 0
Isaiah 雪币： 331 活跃值： (56) 能力值： ( LV13，RANK：410 ) 在线值：发帖 68 回帖 1293 粉丝 2 关注私信	Isaiah 10 20 楼 themida不能Hook API? 能详细说说什么原因吗? 2006-10-12 22:06 0
djpvd 雪币： 320 活跃值： (104) 能力值： (RANK：180 ) 在线值：发帖 133 回帖 447 粉丝 2 关注私信	djpvd 4 21 楼 ??拿 1.5.0.0 加?把VM代瘁啉?全部去掉然後下hr 401000 跟 hw 401000 我办?上面我又真邋了他?先把401000到40xxxx的代瘁解一次大小跟加?的大小一? 但代瘁稍微有?化然後再把?化後的代瘁再解一次 ?到一??存空殓然後再?入401000的?段 ??下了?? 办?跑到呃彦第1次解瘁才起了?化只是我??代瘁看懂??句能告灾我呃?算是新办?? themida 1.0.0.5 00667693 81C2 5766C03C add edx,3CC06657 00667699 81EA 9B45E05B sub edx,5BE0459B 0066769F 81EA 7F55D20D sub edx,0DD2557F 006676A5 891408 mov dword ptr ds:[eax+ecx],edx 006676A8 83E9 03 sub ecx,3 006676AB 49 dec ecx 006676AC 3B0C24 cmp ecx,dword ptr ss:[esp] themida 1.5.0.0 004E1BBA 81C6 44C5423E add esi,3E42C544 004E1BC0 81EE B4318542 sub esi,428531B4 004E1BC6 81EE 9540DF73 sub esi,73DF4095 004E1BCC 893401 mov dword ptr ds:[ecx+eax],esi 004E1BCF 81E8 0EFAB610 sub eax,10B6FA0E 004E1BD5 81C0 0AFAB610 add eax,10B6FA0A 004E1BDB 3B0424 cmp eax,dword ptr ss:[esp] 2006-10-12 22:06 0
geodiy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 26 粉丝 0 关注私信	geodiy 22 楼不是不能hook api, 是我想 Hook 一个API 饶过TheMida, 但是没饶过 ... 2006-10-13 14:59 0
geodiy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 26 粉丝 0 关注私信	geodiy 23 楼 up up every day 2006-10-14 14:33 0
djpvd 雪币： 320 活跃值： (104) 能力值： (RANK：180 ) 在线值：发帖 133 回帖 447 粉丝 2 关注私信	djpvd 4 24 楼我想 up up 也?用吧 ?竟很多外卦都用它加? 要坐出他自己?生的代瘁 ?替?被屏蔽的代瘁呃?膣度太高了而且也不一定?催 themida 有? code replace 的啉? 啉?呃?操作才?屏蔽代瘁再啉?呃??目 ??生一? xxx.exeSimulate2的文件我看不如?呃彦研究吧希望?真邋 2006-10-15 03:20 0
Isaiah 雪币： 331 活跃值： (56) 能力值： ( LV13，RANK：410 ) 在线值：发帖 68 回帖 1293 粉丝 2 关注私信	Isaiah 10 25 楼 code replace就是VM吧？ 2006-10-15 03:51 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

geodiy

发帖

回帖

RANK

关注

私信

他的文章

再谈 TheMida v1.0.0.5 的脱壳问题 12433

关于我们

联系我们

企业服务

看雪公众号

最新回复 (32) 1 2 ▶
geodiy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 26 粉丝 0 关注私信	geodiy 2 楼 TheMida v1.0.0.5升级，是因为他被Crack了，意味这些小软件的作者们都可以用这个强壳来加壳了；要是现在所有的小软件都用她加壳的话, 是不是我们这行业很多人就失业了哦。郁闷中... （杞人忧天...）那为什么还是有绝大部分小软件的作者们不用这个TheMida来加壳呢？？？奇怪中.... 呵呵，是因为他们不知道有这个强壳啦.... 2006-10-6 23:04 0
kanxue 雪币： 47147 活跃值： (20380) 能力值： (RANK：350 ) 在线值：发帖 2374 回帖 17045 粉丝 538 关注私信	kanxue 8 3 楼最初由 geodiy* 发布* 那为什么还是有绝大部分小软件的作者们不用这个TheMida来加壳呢？？？奇怪中.... 呵呵，是因为他们不知道有这个强壳啦.... ........ 不用是因为其稳定性和兼容性不是太好，如果经常听到用户反馈蓝屏问题，我想你头会大的。 2006-10-7 10:15 0
geodiy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 26 粉丝 0 关注私信	geodiy 4 楼感谢坛主的指点；还是想聊聊其脱壳的问题： 1、TheMida防止调试，idt被其修改。 int 1，int 3 被修改为0xffffff, 这个是可以恢复过来；int 0x0e被修改他自己的例程，也可以还原过来； 2、TheMida防止内存被读取和修改，sdt被其修改，我看别人说也可以dump出来，修改为不执行它的代码，直接执行原来的，也可以； 3、KeAttachProcess和vsprintf不知道他又作了些什么； 4、TheMida为防止恢复以上的修改，据说又加了16个（还是24个）线程不断检测，一发现被修改就马上蓝屏，这也许是被加壳软件常常蓝屏的原因吧。如果我们停止它的监测线程，是不是就可以恢复了呢？ 5、不过，stolen的代码怎么办呢？有同志说用挂接 TerimateProcess,这时代码都执行了一遍，被stolen的代码也已经恢复了，是不是就可以dump任何东西了呢？（oep就被stolen了） 6、还有些牛人已经模拟了驱动，还有些人分析了虚拟机机制都这样了，应该很清晰了，为啥我们的牛人们，没有搞出来呢？呵呵：），看来是不消一顾了 .... 可是现在还是有那么一些家伙用它来加壳，难道就任其逍遥吗？ ... 这个世界级难题... ... 2006-10-7 11:14 0
hxx 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 189 粉丝 0 关注私信	hxx 5 楼 Themida V1.3.5.5加的壳都很多人能脱了。 TheMida v1.0.0.5fly版主写过脱文 2006-10-7 14:34 0
geodiy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 26 粉丝 0 关注私信	geodiy 6 楼哈，原来有哈，我找找看，要是没找到的话，请给各链接的地址吧。 2006-10-7 14:47 0
geodiy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 26 粉丝 0 关注私信	geodiy 7 楼呵呵，找到了 fly 老大的文章，不过他是用的TheMida 1.1.1.0的，且无驱动，难度降低不少；不过倒是可以供后来人参考。 2006-10-7 20:41 0
djpvd 雪币： 320 活跃值： (104) 能力值： (RANK：180 ) 在线值：发帖 133 回帖 447 粉丝 2 关注私信	djpvd 4 8 楼最初由 geodiy* 发布* 感谢坛主的指点；还是想聊聊其脱壳的问题： 1、TheMida防止调试，idt被其修改。 int 1，int 3 被修改为0xffffff, 这个是可以恢复过来；int 0x0e被修改他自己的例程，也可以还原过来； ........ 很多外?都用他加? 膣不成又是跟外?有晷如果是有人?了他的? 那他??就倒了吧白花花的泫子也杂就?此?送 ... 像是之前 hying ..只是推?.... 2006-10-7 22:54 0
goodcode 雪币： 67 活跃值： (66) 能力值： ( LV7，RANK：100 ) 在线值：发帖 19 回帖 289 粉丝 2 关注私信	goodcode 2 9 楼任意版本PEID的签名都是一样吧考虑过买WinLicense但是折合人民币还是不便宜防止的不是你破击而是破解的时间如果在预设时间内软件没有被破解那么目的就达到了 2006-10-7 23:24 0
djpvd 雪币： 320 活跃值： (104) 能力值： (RANK：180 ) 在线值：发帖 133 回帖 447 粉丝 2 关注私信	djpvd 4 10 楼有一?小办?了 ???代瘁部分先用OD蒌入 Shift+F9 哕行到代瘁段的地方查看哪彦是???屏蔽代瘁的地方例如是00402210 然後重新蒌入先下 Hw 00402210 停在一??似 rep movs byte ptr es:[edi],byte ptr ds:[esi> 代瘁的地方按右嫔在??窗口中跟胗 ?出???位址然後跟咄其中一?不是0040xxxx的位址也就是要?入0040xxxx?存放代瘁的地方例如是 02Bxxxxx 呃?候要?入0040xxx的是 ???屏蔽的代瘁然後再重新蒌入下Hr 02Bxxxxx 一? 到 rep movs 的代瘁? 一?有??位址一?是正催的代瘁一?是要取代正催代瘁的???代瘁呃只是我的推? 可以?看看 2006-10-8 22:07 0
geodiy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 26 粉丝 0 关注私信	geodiy 11 楼两天不来，又有新发现了哈，大家努力！这两天都想了些歪主意，想绕过TheMida（去Hook API），结果发现这条路是走不通，便又绕回来了。还是要脱，不脱不行的。大家继续研究，一定要搞定他。 2006-10-10 23:57 0
djpvd 雪币： 320 活跃值： (104) 能力值： (RANK：180 ) 在线值：发帖 133 回帖 447 粉丝 2 关注私信	djpvd 4 12 楼分析邋锗不咿可以催定的是在他?入401000之前他?先?到一?Memory空殓在呃?Memory空殓他已?把屏蔽的VM代瘁?好在彦面了在他?入呃?空殓之前可能中殓的咿程有所不同吧不?得有?有解VM代瘁的相晷技戌文件哪肺遮言都可以一有?殓就是在檫著OD看著themida的代瘁看到钷?在很痛 2006-10-11 00:11 0
geodiy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 26 粉丝 0 关注私信	geodiy 13 楼在 AntiThemida 里面有一段代码，实现了加壳程序的注入DLL，可以试试是否可以通过DLL注入来Dump ：）每天花一个小时来研究 TheMida 1.0.0.5, 不信搞不掉这个东东。 2006-10-11 15:41 0
geodiy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 26 粉丝 0 关注私信	geodiy 14 楼注入DLL后，得到所有的线程，然后将其都suspend, 然后再恢复sdt 和 idt, 现在就可以用OD挂接了吧， Come on, baby.... 2006-10-11 15:46 0
badbbs 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	badbbs 15 楼这么好的题目没人关心吗？ 2006-10-11 22:39 0
geodiy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 26 粉丝 0 关注私信	geodiy 16 楼今天来,只是为了up一下~~ 2006-10-12 10:59 0
djpvd 雪币： 320 活跃值： (104) 能力值： (RANK：180 ) 在线值：发帖 133 回帖 447 粉丝 2 关注私信	djpvd 4 17 楼 up up... ?在最大的?铨 ??就是VM代瘁吧... 到看雪得到的以?息?基盗.以事件??之然後...破之解之鄙?之就能???是吧真的容易做的?很膣.. 埃...擂理吧... 2006-10-12 13:06 0
bloodt 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 27 粉丝 0 关注私信	bloodt 18 楼 sustain！ 2006-10-12 18:17 0
木其雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	木其 19 楼走过，看看…… 2006-10-12 21:29 0
Isaiah 雪币： 331 活跃值： (56) 能力值： ( LV13，RANK：410 ) 在线值：发帖 68 回帖 1293 粉丝 2 关注私信	Isaiah 10 20 楼 themida不能Hook API? 能详细说说什么原因吗? 2006-10-12 22:06 0
djpvd 雪币： 320 活跃值： (104) 能力值： (RANK：180 ) 在线值：发帖 133 回帖 447 粉丝 2 关注私信	djpvd 4 21 楼 ??拿 1.5.0.0 加?把VM代瘁啉?全部去掉然後下hr 401000 跟 hw 401000 我办?上面我又真邋了他?先把401000到40xxxx的代瘁解一次大小跟加?的大小一? 但代瘁稍微有?化然後再把?化後的代瘁再解一次 ?到一??存空殓然後再?入401000的?段 ??下了?? 办?跑到呃彦第1次解瘁才起了?化只是我??代瘁看懂??句能告灾我呃?算是新办?? themida 1.0.0.5 00667693 81C2 5766C03C add edx,3CC06657 00667699 81EA 9B45E05B sub edx,5BE0459B 0066769F 81EA 7F55D20D sub edx,0DD2557F 006676A5 891408 mov dword ptr ds:[eax+ecx],edx 006676A8 83E9 03 sub ecx,3 006676AB 49 dec ecx 006676AC 3B0C24 cmp ecx,dword ptr ss:[esp] themida 1.5.0.0 004E1BBA 81C6 44C5423E add esi,3E42C544 004E1BC0 81EE B4318542 sub esi,428531B4 004E1BC6 81EE 9540DF73 sub esi,73DF4095 004E1BCC 893401 mov dword ptr ds:[ecx+eax],esi 004E1BCF 81E8 0EFAB610 sub eax,10B6FA0E 004E1BD5 81C0 0AFAB610 add eax,10B6FA0A 004E1BDB 3B0424 cmp eax,dword ptr ss:[esp] 2006-10-12 22:06 0
geodiy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 26 粉丝 0 关注私信	geodiy 22 楼不是不能hook api, 是我想 Hook 一个API 饶过TheMida, 但是没饶过 ... 2006-10-13 14:59 0
geodiy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 26 粉丝 0 关注私信	geodiy 23 楼 up up every day 2006-10-14 14:33 0
djpvd 雪币： 320 活跃值： (104) 能力值： (RANK：180 ) 在线值：发帖 133 回帖 447 粉丝 2 关注私信	djpvd 4 24 楼我想 up up 也?用吧 ?竟很多外卦都用它加? 要坐出他自己?生的代瘁 ?替?被屏蔽的代瘁呃?膣度太高了而且也不一定?催 themida 有? code replace 的啉? 啉?呃?操作才?屏蔽代瘁再啉?呃??目 ??生一? xxx.exeSimulate2的文件我看不如?呃彦研究吧希望?真邋 2006-10-15 03:20 0
Isaiah 雪币： 331 活跃值： (56) 能力值： ( LV13，RANK：410 ) 在线值：发帖 68 回帖 1293 粉丝 2 关注私信	Isaiah 10 25 楼 code replace就是VM吧？ 2006-10-15 03:51 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复