THEMIDA脚本（for IAT restore）-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

THEMIDA脚本（for IAT restore）

发表于: 2007-3-23 16:37 83800

THEMIDA脚本（for IAT restore）

okdodo

2007-3-23 16:37

83800

减少一点体力活

/*
Script written by okdodo  2007/03
Tested for themida IAT restore and OEP find~

Ollyice: Ignore all exceptions (add 0EEDFADE,C0000005,C000001E)
HideOD : Check HideNtDebugBit and ZwQueryInformationProcess(method2)

Test Environment : Ollyice 1.1 + HideOD
               ODBGScript 1.52 under WINXP
Thanks :
      kanxue    - author of HideOD
      hnhuqiong  - author of ODbgScript 1.52
*/

data:
var cbase
var csize
var dllimg
var pmbase
var apibase
var mem

gmi eip,CODEBASE
mov cbase,$RESULT
gmi eip,CODESIZE
mov csize,$RESULT
gmemi eip,MEMORYBASE
mov dllimg,$RESULT
log dllimg

findapibase:
gpa "GetLocalTime", "kernel32.dll"
mov tmpbp,$RESULT
cmp tmpbp,0
je stop
bphws tmpbp ,"x"
esto
bphwc tmpbp
rtu
gpa "VirtualAlloc", "kernel32.dll"
mov tmpbp,$RESULT
cmp tmpbp,0
je stop
bphws tmpbp ,"x"
esto
bphwc tmpbp
rtu
mov apibase,eax
log apibase
gpa "LoadLibraryA", "kernel32.dll"
mov tmpbp,$RESULT
cmp tmpbp,0
je stop
bphws tmpbp ,"x"
esto
bphwc tmpbp
rtu

findVirtualAlloc:
find apibase,#558BECFF7514FF7510FF750CFF75086AFFE8090000005DC21000#
mov tmpbp,$RESULT
cmp tmpbp,0
je stop
bphws tmpbp ,"x"

iatloop:
esto
mov tmp,[esp]
find dllimg,#50516033C0#
cmp $RESULT,0
jne iatpatch
jmp iatloop

iatpatch:
bphwc tmpbp
find eip,#C21000#
bphws $RESULT,"x"
esto
bphwc $RESULT
sti
mov tmpbp,tmp
find tmpbp,#0F850A000000C785#
mov tmpbp,$RESULT
mov [tmpbp],0A0EEB
find tmpbp,#0F84390000003B8D#
mov tmpbp,$RESULT
mov [tmpbp],3928EB

alloc 1000
mov mem, $RESULT
log mem
mov tmp,mem
mov [tmp],#A3000000008908ADC746FC00000000E90000000050A1000000008907807FFFE8750866C747FEFF15EB0666C747FEFF2558E90000000050A100000000894701807FFFE8750866C747FFFF15EB0666C747FFFF25580F8500000000E90000000083C704E900000000#
mov memtmp,tmp
add memtmp,100
add tmp,1
mov [tmp],memtmp
add tmp,15
mov [tmp],memtmp
add tmp,22
mov [tmp],memtmp
mov tmp,mem

find tmpbp,#8908AD#
mov tmpbp,$RESULT
mov addr1,tmpbp
add addr1,0A
eval "jmp {tmp}"
asm tmpbp, $RESULT

find tmpbp,#E92400000058#
mov tmpbp,$RESULT
add tmp,14
eval "jmp {tmp}"
asm tmpbp, $RESULT

find tmpbp,#0F851800000083BD#
mov tmpbp,$RESULT
mov addr3,tmpbp
add addr3,06
add tmp,22
eval "jmp {tmp}"
asm tmpbp, $RESULT

find tmpbp,#884704#
mov tmpbp,$RESULT
mov addr2,tmpbp
add addr2,03
mov [tmpbp],#909090#

find tmpbp,#ABAD#
mov tmpbp,$RESULT
mov [tmpbp],#90#

add tmpbp,9
add tmp,29
eval "jmp {tmp}"
asm tmpbp, $RESULT

mov memtmp,mem
add memtmp,0F
eval "jmp {addr1}"
asm memtmp, $RESULT
add memtmp,22
eval "jmp {addr2}"
asm memtmp, $RESULT
add memtmp,23
eval "jne {addr2}"
asm memtmp, $RESULT
add memtmp,06
eval "jmp {addr3}"
asm memtmp, $RESULT
add memtmp,08
eval "jmp {addr1}"
asm memtmp, $RESULT

find eip,#C7010000000083C104#
mov tmpbp,$RESULT
add tmpbp,14
bphws tmpbp,"x"
esto
bphwc tmpbp

mov tmp,cbase
add tmp,csize

findoep:
bprm cbase,csize
esto
bpmc
cmp eip,tmp
ja findoep
msg "script finished,check the oep place by yourself~"
ret

stop:
pause

apierror:
pause

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法

收藏・26

免费・7

支持

最新回复 (140) 1 2 3 4 5 6 ▶
elance 雪币： 716 活跃值： (162) 能力值： ( LV9，RANK：250 ) 在线值：发帖 13 回帖 570 粉丝 0 关注私信	elance 6 2 楼不会用， 2007-3-23 16:45 0
npfoxx 雪币： 208 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 21 粉丝 0 关注私信	npfoxx 3 楼不懂。。楼主能够解释一下脚本的具体用法用途吗？ 2007-3-23 17:12 0
hnhuqiong 雪币： 184 活跃值： (108) 能力值： ( LV9，RANK：410 ) 在线值：发帖 47 回帖 524 粉丝 3 关注私信	hnhuqiong 10 4 楼兄弟很勤快啊,脚本开始运用的越来越炉火纯青了. BTW:1.52有什么BUG报告不?? 1.53抽空在写,又修正了几个BUG,加了几个函数,兄弟给个Email,提前给你测试,勤写脚本有什么特殊要求,兄弟给你加上. 2007-3-23 17:17 0
cyclotron 雪币： 392 活跃值： (909) 能力值： ( LV9，RANK：690 ) 在线值：发帖 43 回帖 800 粉丝 9 关注私信	cyclotron 17 5 楼牛人，学习～ 2007-3-23 17:20 0
KuNgBiM 雪币： 817 活跃值： (1927) 能力值： ( LV12，RANK：2670 ) 在线值：发帖 500 回帖 2517 粉丝 20 关注私信	KuNgBiM 66 6 楼又一火星人`````` 学习～ 2007-3-23 17:25 0
cxlrb 雪币： 238 活跃值： (12) 能力值： ( LV9，RANK：210 ) 在线值：发帖 192 回帖 923 粉丝 0 关注私信	cxlrb 5 7 楼有一个大牛！希望过几天看到脱壳机。 2007-3-23 17:30 0
少爷雪币： 51 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 195 粉丝 0 关注私信	少爷 8 楼脱壳机！！！等啊！！！ 2007-3-23 17:35 0
KAN 雪币： 263 活跃值： (10) 能力值： ( LV9，RANK：250 ) 在线值：发帖 11 回帖 589 粉丝 0 关注私信	KAN 6 9 楼牛人越来越多了 2007-3-23 17:49 0
yzjsdn 雪币： 170 活跃值： (18) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 126 粉丝 0 关注私信	yzjsdn 10 楼学习~~~感谢提供 2007-3-23 17:50 0
okdodo 雪币： 233 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 12 回帖 396 粉丝 1 关注私信	okdodo 2 11 楼最初由 hnhuqiong* 发布* 兄弟很勤快啊,脚本开始运用的越来越炉火纯青了. BTW:1.52有什么BUG报告不?? 1.53抽空在写,又修正了几个BUG,加了几个函数,兄弟给个Email,提前给你测试,勤写脚本有什么特殊要求,兄弟给你加上. 1.52好用 Thanks~！ Email: okdodo@126.com 现在在想办法清理themida的变形代码脚本似乎不容易实现：（修改了softworm的代码后能清理一部分，不过距离期望值还有距离 2007-3-23 17:56 0
binbinbin 雪币： 405 活跃值： (10) 能力值： ( LV9，RANK：1130 ) 在线值：发帖 51 回帖 690 粉丝 0 关注私信	binbinbin 28 12 楼收藏起来先~有人使用过了没有，给出效果啊 2007-3-23 18:07 0
xzchina 雪币： 615 活跃值： (1127) 能力值： ( LV4，RANK：50 ) 在线值：发帖 42 回帖 843 粉丝 0 关注私信	xzchina 1 13 楼用平静的心态收下了完全不知道执行后是什么效果 2007-3-23 18:30 0
playx 雪币： 146 活跃值： (72) 能力值： ( LV4，RANK：50 ) 在线值：发帖 25 回帖 445 粉丝 0 关注私信	playx 1 14 楼去年是aspr年,今年就是TMD年了,呵呵,支持＋期待！ 2007-3-23 18:42 0
疯狂菜鸟雪币： 0 能力值： (RANK：10 ) 在线值：发帖 48 回帖 410 粉丝 0 关注私信	疯狂菜鸟 15 楼好东西,随便测试了一个就跟脱压缩壳一样。。比ASPR脚本还厉害真是无敌了 2007-3-23 19:38 0
hnhuqiong 雪币： 184 活跃值： (108) 能力值： ( LV9，RANK：410 ) 在线值：发帖 47 回帖 524 粉丝 3 关注私信	hnhuqiong 10 16 楼最初由 okdodo* 发布* 1.52好用 Thanks~！ Email: okdodo@126.com 现在在想办法清理themida的变形代码脚本似乎不容易实现：（ ........ 还没有空琢磨themida,不过,我尝试一下下一个版本把虚拟机中常用的汇编语句也整到脚本语句里面来,这样,在变量计算上就方便了.不用在脚本环境和OD环境中来回潜,我原先1.3xx的时候,有个想法就是开一个大区,然后把它的真正VM计算这一节给复制过去,卡住他的几个计算关键结果,然后回到脚本带入变量重新计算,然后回填修复的变形代码.可这个整理工作也是天量,是在没有勇气去弄.最主要softftworm告诉俺们VM有几个东西很难弄,大虾都说了,俺们就撤退了. 感觉themida框架还没有最后定死,定死了,兄弟们就上. 2007-3-23 20:44 0
elance 雪币： 716 活跃值： (162) 能力值： ( LV9，RANK：250 ) 在线值：发帖 13 回帖 570 粉丝 0 关注私信	elance 6 17 楼最初由 hnhuqiong* 发布* 感觉themida框架还没有最后定死,定死了,兄弟们就上. 2007-3-23 20:48 0
wynney 雪币： 224 活跃值： (147) 能力值： ( LV9，RANK：970 ) 在线值：发帖 65 回帖 1109 粉丝 7 关注私信	wynney 24 18 楼脚本很强悍、楼主更强悍 2007-3-23 22:27 0
glts 雪币： 224 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 101 粉丝 0 关注私信	glts 19 楼拿两个程序试了一下,结果程序直接跑飞, 不知道啥原因. 2007-3-23 22:45 0
clide2000 雪币： 301 活跃值： (300) 能力值： ( LV9，RANK：290 ) 在线值：发帖 56 回帖 1209 粉丝 2 关注私信	clide2000 7 20 楼先收藏以后备用 2007-3-24 00:17 0
prince 雪币： 603 活跃值： (617) 能力值： ( LV12，RANK：660 ) 在线值：发帖 51 回帖 1874 粉丝 8 关注私信	prince 16 21 楼不知道接下来会出什么事情 2007-3-24 00:58 0
aki 雪币： 223 活跃值： (70) 能力值： ( LV6，RANK：90 ) 在线值：发帖 17 回帖 592 粉丝 0 关注私信	aki 2 22 楼 1.52载入脚本的时候,要出2个错误,然后才能正常跑,不知是什么bug 2007-3-24 08:52 0
wan 雪币： 333 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 312 粉丝 0 关注私信	wan 23 楼精品肯定要收下的 2007-3-24 09:37 0
hnhuqiong 雪币： 184 活跃值： (108) 能力值： ( LV9，RANK：410 ) 在线值：发帖 47 回帖 524 粉丝 3 关注私信	hnhuqiong 10 24 楼最初由 aki* 发布* 1.52载入脚本的时候,要出2个错误,然后才能正常跑,不知是什么bug 这个是1.52和ICE hideod冲突了,我在想办法.呵呵暂时将Zwsetinfomationthread不钩就没有问题. 2007-3-24 11:11 0
xingbing 雪币： 175 活跃值： (2326) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 1133 粉丝 2 关注私信	xingbing 25 楼牛人呀，这个脚本也出来了。 2007-3-24 11:44 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

okdodo

发帖

396

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (140) 1 2 3 4 5 6 ▶
elance 雪币： 716 活跃值： (162) 能力值： ( LV9，RANK：250 ) 在线值：发帖 13 回帖 570 粉丝 0 关注私信	elance 6 2 楼不会用， 2007-3-23 16:45 0
npfoxx 雪币： 208 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 21 粉丝 0 关注私信	npfoxx 3 楼不懂。。楼主能够解释一下脚本的具体用法用途吗？ 2007-3-23 17:12 0
hnhuqiong 雪币： 184 活跃值： (108) 能力值： ( LV9，RANK：410 ) 在线值：发帖 47 回帖 524 粉丝 3 关注私信	hnhuqiong 10 4 楼兄弟很勤快啊,脚本开始运用的越来越炉火纯青了. BTW:1.52有什么BUG报告不?? 1.53抽空在写,又修正了几个BUG,加了几个函数,兄弟给个Email,提前给你测试,勤写脚本有什么特殊要求,兄弟给你加上. 2007-3-23 17:17 0
cyclotron 雪币： 392 活跃值： (909) 能力值： ( LV9，RANK：690 ) 在线值：发帖 43 回帖 800 粉丝 9 关注私信	cyclotron 17 5 楼牛人，学习～ 2007-3-23 17:20 0
KuNgBiM 雪币： 817 活跃值： (1927) 能力值： ( LV12，RANK：2670 ) 在线值：发帖 500 回帖 2517 粉丝 20 关注私信	KuNgBiM 66 6 楼又一火星人`````` 学习～ 2007-3-23 17:25 0
cxlrb 雪币： 238 活跃值： (12) 能力值： ( LV9，RANK：210 ) 在线值：发帖 192 回帖 923 粉丝 0 关注私信	cxlrb 5 7 楼有一个大牛！希望过几天看到脱壳机。 2007-3-23 17:30 0
少爷雪币： 51 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 195 粉丝 0 关注私信	少爷 8 楼脱壳机！！！等啊！！！ 2007-3-23 17:35 0
KAN 雪币： 263 活跃值： (10) 能力值： ( LV9，RANK：250 ) 在线值：发帖 11 回帖 589 粉丝 0 关注私信	KAN 6 9 楼牛人越来越多了 2007-3-23 17:49 0
yzjsdn 雪币： 170 活跃值： (18) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 126 粉丝 0 关注私信	yzjsdn 10 楼学习~~~感谢提供 2007-3-23 17:50 0
okdodo 雪币： 233 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 12 回帖 396 粉丝 1 关注私信	okdodo 2 11 楼最初由 hnhuqiong* 发布* 兄弟很勤快啊,脚本开始运用的越来越炉火纯青了. BTW:1.52有什么BUG报告不?? 1.53抽空在写,又修正了几个BUG,加了几个函数,兄弟给个Email,提前给你测试,勤写脚本有什么特殊要求,兄弟给你加上. 1.52好用 Thanks~！ Email: okdodo@126.com 现在在想办法清理themida的变形代码脚本似乎不容易实现：（修改了softworm的代码后能清理一部分，不过距离期望值还有距离 2007-3-23 17:56 0
binbinbin 雪币： 405 活跃值： (10) 能力值： ( LV9，RANK：1130 ) 在线值：发帖 51 回帖 690 粉丝 0 关注私信	binbinbin 28 12 楼收藏起来先~有人使用过了没有，给出效果啊 2007-3-23 18:07 0
xzchina 雪币： 615 活跃值： (1127) 能力值： ( LV4，RANK：50 ) 在线值：发帖 42 回帖 843 粉丝 0 关注私信	xzchina 1 13 楼用平静的心态收下了完全不知道执行后是什么效果 2007-3-23 18:30 0
playx 雪币： 146 活跃值： (72) 能力值： ( LV4，RANK：50 ) 在线值：发帖 25 回帖 445 粉丝 0 关注私信	playx 1 14 楼去年是aspr年,今年就是TMD年了,呵呵,支持＋期待！ 2007-3-23 18:42 0
疯狂菜鸟雪币： 0 能力值： (RANK：10 ) 在线值：发帖 48 回帖 410 粉丝 0 关注私信	疯狂菜鸟 15 楼好东西,随便测试了一个就跟脱压缩壳一样。。比ASPR脚本还厉害真是无敌了 2007-3-23 19:38 0
hnhuqiong 雪币： 184 活跃值： (108) 能力值： ( LV9，RANK：410 ) 在线值：发帖 47 回帖 524 粉丝 3 关注私信	hnhuqiong 10 16 楼最初由 okdodo* 发布* 1.52好用 Thanks~！ Email: okdodo@126.com 现在在想办法清理themida的变形代码脚本似乎不容易实现：（ ........ 还没有空琢磨themida,不过,我尝试一下下一个版本把虚拟机中常用的汇编语句也整到脚本语句里面来,这样,在变量计算上就方便了.不用在脚本环境和OD环境中来回潜,我原先1.3xx的时候,有个想法就是开一个大区,然后把它的真正VM计算这一节给复制过去,卡住他的几个计算关键结果,然后回到脚本带入变量重新计算,然后回填修复的变形代码.可这个整理工作也是天量,是在没有勇气去弄.最主要softftworm告诉俺们VM有几个东西很难弄,大虾都说了,俺们就撤退了. 感觉themida框架还没有最后定死,定死了,兄弟们就上. 2007-3-23 20:44 0
elance 雪币： 716 活跃值： (162) 能力值： ( LV9，RANK：250 ) 在线值：发帖 13 回帖 570 粉丝 0 关注私信	elance 6 17 楼最初由 hnhuqiong* 发布* 感觉themida框架还没有最后定死,定死了,兄弟们就上. 2007-3-23 20:48 0
wynney 雪币： 224 活跃值： (147) 能力值： ( LV9，RANK：970 ) 在线值：发帖 65 回帖 1109 粉丝 7 关注私信	wynney 24 18 楼脚本很强悍、楼主更强悍 2007-3-23 22:27 0
glts 雪币： 224 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 101 粉丝 0 关注私信	glts 19 楼拿两个程序试了一下,结果程序直接跑飞, 不知道啥原因. 2007-3-23 22:45 0
clide2000 雪币： 301 活跃值： (300) 能力值： ( LV9，RANK：290 ) 在线值：发帖 56 回帖 1209 粉丝 2 关注私信	clide2000 7 20 楼先收藏以后备用 2007-3-24 00:17 0
prince 雪币： 603 活跃值： (617) 能力值： ( LV12，RANK：660 ) 在线值：发帖 51 回帖 1874 粉丝 8 关注私信	prince 16 21 楼不知道接下来会出什么事情 2007-3-24 00:58 0
aki 雪币： 223 活跃值： (70) 能力值： ( LV6，RANK：90 ) 在线值：发帖 17 回帖 592 粉丝 0 关注私信	aki 2 22 楼 1.52载入脚本的时候,要出2个错误,然后才能正常跑,不知是什么bug 2007-3-24 08:52 0
wan 雪币： 333 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 312 粉丝 0 关注私信	wan 23 楼精品肯定要收下的 2007-3-24 09:37 0
hnhuqiong 雪币： 184 活跃值： (108) 能力值： ( LV9，RANK：410 ) 在线值：发帖 47 回帖 524 粉丝 3 关注私信	hnhuqiong 10 24 楼最初由 aki* 发布* 1.52载入脚本的时候,要出2个错误,然后才能正常跑,不知是什么bug 这个是1.52和ICE hideod冲突了,我在想办法.呵呵暂时将Zwsetinfomationthread不钩就没有问题. 2007-3-24 11:11 0
xingbing 雪币： 175 活跃值： (2326) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 1133 粉丝 2 关注私信	xingbing 25 楼牛人呀，这个脚本也出来了。 2007-3-24 11:44 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复