[分享]Themida脱壳(VC++ 7.0之Stolen Code还原的一种思路)-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (34) ◀ 1 2
nplaosan 雪币： 267 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 66 粉丝 0 关注私信	nplaosan 26 楼顶 2007-6-30 21:37 0
nisila 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 29 粉丝 0 关注私信	nisila 27 楼好文章值得学习哦谢谢啦 2007-7-10 05:23 0
ldsjlm 雪币： 159 活跃值： (487) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 28 粉丝 0 关注私信	ldsjlm 28 楼感谢楼主的教程，让我解决了问题，谢谢 2007-7-10 10:00 0
akim 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 9 粉丝 0 关注私信	akim 29 楼谢谢LZ的思路 2007-7-10 19:36 0
网络阿牛雪币： 204 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 105 粉丝 0 关注私信	网络阿牛 30 楼学习了，偷懒的方法：用脚本到OEP后，找到真正的OEP后，直接再用OD开程序内的另外一个程序，把开头的代码全部复制就可以了，入口都是一样的 2007-7-29 14:20 0
kunkun 雪币： 129 活跃值： (53) 能力值： ( LV9，RANK：220 ) 在线值：发帖 24 回帖 97 粉丝 1 关注私信	kunkun 5 31 楼现在的水平还看不大懂.不过还是支持一个先. 2007-8-11 11:33 0
突然厉害雪币： 210 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 62 粉丝 0 关注私信	突然厉害 32 楼好文章等慢慢研究，慢慢琢磨。 2007-8-11 14:43 0
孤行有你雪币： 255 活跃值： (37) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 250 粉丝 0 关注私信	孤行有你 33 楼正在脱０．５版本的，就差这个了，想问ＬＺ　０．５版本的有没有代码变形技术？？还有虚拟代码？我看了看好像俩个都有～再次感谢 2007-10-14 01:35 0
sunts 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 13 粉丝 0 关注私信	sunts 34 楼十一期间更新的版本，好像使用了1.9.4加密处理的，IAT表的算法好像不一样了，目前没有找到可以断在OEP位置处的脚本。不过，我找到了OEP，也找到了IAT的结束地址，但开始地址的确认上我有些疑问。 1.9.3之类的版本， IAT: START_ADDR:00 00 00 00 xxxxx : xxxxxxxxxx // ADVxxx.dll.qqqqq .... yyyyyy : 00 00 00 00 END_ADDR :00 00 00 00 END_ADDR - START_ADDR = 4A0 1.9.4 IAT: START_POS1 : 00 00 00 00 xxx : 2Exxxxxx // 非系统DLL的入口地址 ..... // 这其间有大量的入口地址都不再指向系统DLL了，而是指向其他代码段 ..... START_POS2: 00 00 00 00 xxxxxxxxxx : xxxx // 系统DLL的入口地址 ...... yyyyyy : 00 00 00 00 END_ADDR :00 00 00 00 其中，END_ADDR - START_POS1 = 4A0 END_ADDR - START_POS2 = 11C 不知各位高手能否告知真正的起始地址是哪个？指向其他位置的地址我该如何处理？ 1.9.4版本对OD等的识别比较厉害了，只要下断点之类，程序的一个线程马上就会检测到并报告内存异常。所以，尽量按F8吧。 2007-10-16 13:33 0
林海雪原雪币： 242 活跃值： (163) 能力值： ( LV9，RANK：250 ) 在线值：发帖 20 回帖 294 粉丝 0 关注私信	林海雪原 6 35 楼好久没来了,学习了.........支持!!! 2007-10-17 12:31 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (34) ◀ 1 2
nplaosan 雪币： 267 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 66 粉丝 0 关注私信	nplaosan 26 楼顶 2007-6-30 21:37 0
nisila 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 29 粉丝 0 关注私信	nisila 27 楼好文章值得学习哦谢谢啦 2007-7-10 05:23 0
ldsjlm 雪币： 159 活跃值： (487) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 28 粉丝 0 关注私信	ldsjlm 28 楼感谢楼主的教程，让我解决了问题，谢谢 2007-7-10 10:00 0
akim 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 9 粉丝 0 关注私信	akim 29 楼谢谢LZ的思路 2007-7-10 19:36 0
网络阿牛雪币： 204 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 105 粉丝 0 关注私信	网络阿牛 30 楼学习了，偷懒的方法：用脚本到OEP后，找到真正的OEP后，直接再用OD开程序内的另外一个程序，把开头的代码全部复制就可以了，入口都是一样的 2007-7-29 14:20 0
kunkun 雪币： 129 活跃值： (53) 能力值： ( LV9，RANK：220 ) 在线值：发帖 24 回帖 97 粉丝 1 关注私信	kunkun 5 31 楼现在的水平还看不大懂.不过还是支持一个先. 2007-8-11 11:33 0
突然厉害雪币： 210 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 62 粉丝 0 关注私信	突然厉害 32 楼好文章等慢慢研究，慢慢琢磨。 2007-8-11 14:43 0
孤行有你雪币： 255 活跃值： (37) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 250 粉丝 0 关注私信	孤行有你 33 楼正在脱０．５版本的，就差这个了，想问ＬＺ　０．５版本的有没有代码变形技术？？还有虚拟代码？我看了看好像俩个都有～再次感谢 2007-10-14 01:35 0
sunts 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 13 粉丝 0 关注私信	sunts 34 楼十一期间更新的版本，好像使用了1.9.4加密处理的，IAT表的算法好像不一样了，目前没有找到可以断在OEP位置处的脚本。不过，我找到了OEP，也找到了IAT的结束地址，但开始地址的确认上我有些疑问。 1.9.3之类的版本， IAT: START_ADDR:00 00 00 00 xxxxx : xxxxxxxxxx // ADVxxx.dll.qqqqq .... yyyyyy : 00 00 00 00 END_ADDR :00 00 00 00 END_ADDR - START_ADDR = 4A0 1.9.4 IAT: START_POS1 : 00 00 00 00 xxx : 2Exxxxxx // 非系统DLL的入口地址 ..... // 这其间有大量的入口地址都不再指向系统DLL了，而是指向其他代码段 ..... START_POS2: 00 00 00 00 xxxxxxxxxx : xxxx // 系统DLL的入口地址 ...... yyyyyy : 00 00 00 00 END_ADDR :00 00 00 00 其中，END_ADDR - START_POS1 = 4A0 END_ADDR - START_POS2 = 11C 不知各位高手能否告知真正的起始地址是哪个？指向其他位置的地址我该如何处理？ 1.9.4版本对OD等的识别比较厉害了，只要下断点之类，程序的一个线程马上就会检测到并报告内存异常。所以，尽量按F8吧。 2007-10-16 13:33 0
林海雪原雪币： 242 活跃值： (163) 能力值： ( LV9，RANK：250 ) 在线值：发帖 20 回帖 294 粉丝 0 关注私信	林海雪原 6 35 楼好久没来了,学习了.........支持!!! 2007-10-17 12:31 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复