努力学习...

这个壳也让我头大

Themida/WinLicense V1.8.2.0 +  -> Oreans Technologies   * Sign.By.fly *

楼主用的OD是什么版本？ 手上的根本不能加载

我真的很佩服Softworm的逆向工夫
但是好像到那种程度的时候，眼睛也要承受很大压力吧

我也有问题啊```我用unthemida2.0脱  弹出0xxx 0xxx 该内存不能为read
哎```

看不懂啊

看不太明白哦，不过还是顶一个，学习中。

呵，还不懂，看来学脱壳。还得会写脚本哪！要不做不了什么大事，呵呵

楼主能不能说详细些阿

不懂!

从简单做起

对我这只牛弹琴??????

的确简单!

看不懂啊··· 有动画教程就好了

这样还简单啊
佩服大侠啊

脱壳好难 别人的写的外挂加了Themida1.0.0.5的壳子 不会脱壳  还是自己学写外挂吧 呵呵

看不懂。。。。。。。。。。。。。。

那又如何理解要在0088BAA2这里下断!!!
是不是下一个是GetVersion的模拟?
我脱了一个themida壳，stolen oep处，就没有模拟GetVersion这个函数

0040DD9A    DB18            fistp   dword ptr [eax]
0040DD9C    9E              sahf
0040DD9D    DD75 4A         fsave   (108-byte) ptr [ebp+4A]
0040DDA0    F9              stc
0040DDA1    BC 8589D200     mov     esp, 0D28985
0040DDA6    24 48           and     al, 48
0040DDA8    72 2E           jb      short 0040DDD8
0040DDAA    CA 92BC         retf    0BC92
0040DDAD    F4              hlt
0040DDAE    04 B9           add     al, 0B9
0040DDB0    0D A69D9458     or      eax, 58949DA6
0040DDB5    C8 F92294       enter   22F9, 94
0040DDB9  ^ 77 90           ja      short 0040DD4B
0040DDBB    E8 1E4D407C     call    kernel32.GetVersionExA正好偷到这一句上面的，GetVersionExA没偷
0040DDC0    8B4E 10         mov     ecx, dword ptr [esi+10]
0040DDC3    890D 3C524200   mov     dword ptr [42523C], ecx
0040DDC9    8B46 04         mov     eax, dword ptr [esi+4]
0040DDCC    A3 48524200     mov     dword ptr [425248], eax
0040DDD1    8B56 08         mov     edx, dword ptr [esi+8]
0040DDD4    8915 4C524200   mov     dword ptr [42524C], edx
0040DDDA    8B76 0C         mov     esi, dword ptr [esi+C]
0040DDDD    81E6 FF7F0000   and     esi, 7FFF
0040DDE3    8935 40524200   mov     dword ptr [425240], esi
0040DDE9    83F9 02         cmp     ecx, 2
0040DDEC    74 0C           je      short 0040DDFA

脚本日志窗口
地址       信息
4BAFBC     ret_addr: 004E9933
4BAFBC     ret_addr: 00A20ED0
4BAFBC     ret_addr: 00A20ED0
4BAFBC     ret_addr: 0052BA7E
4BAFBC     ret_addr: 0052C76A
4BAFBC     ret_addr: 0052C76A
4BAFBC     ret_addr: 0052E19A
4BAFBC     ret_addr: 0052E90E
4BAFBC     ret_addr: 0052F2CA
4BAFBC     ret_addr: 0052FA93
4BAFBC     ret_addr: 004E9933
4BAFBC     ret_addr: 00A20ED0
4BAFBC     ret_addr: 00A20ED0
4BAFBC     ret_addr: 004AF0E2
4BAFBC     ret_addr: 7C80ABC1 | kernel32.GetProcessHeap
4BAFBC     ret_addr: 7C80ADA0 | kernel32.GetProcAddress
4BAFBC     ret_addr: 7C9305D4 | ntdll.RtlAllocateHeap
4BAFBC     ret_addr: 005311F1
4BAFBC     ret_addr: 00531A4F
4BAFBC     ret_addr: 00532573
4BAFBC     ret_addr: 0052A5C4      //如果我想通过补区段，这里是dump点吗?
4BAFBC     ret_addr: 00410838 | ASCII "hP蹳"   
4BAFBC     ret_addr: 0040D200
4BAFBC     ret_addr: 0040DDBA       //伪OEP
4BAFBC     ret_addr: 7C801D77 | kernel32.LoadLibraryA       //加壳时候把LoadLibrary的调用放到虚拟机去转
4BAFBC     ret_addr: 00404C7C
新版VM出口好像变成了
popfd
retn
请softworm大侠指教

写脚本挂到CreateFile加载的kernel32!VirtualAlloc,记录分配size,
当出现连续分配0x1000,0x2000,0x10000,最后的1个出来就到了.

能不能把这个脚本也贡献出来，最近想学习点脚本，感觉脱壳用程序来挂接修复，比自己patch代码轻松很多。学习了这篇文章受益匪浅。谢谢softworm

老大们能不能出点UPolyX v0.5 *的手脱文章啊，找了好多地方找不到资料啊

很想脱,脱水不了

脱壳真难，学不进去

顶

膜拜一下