首页
社区
课程
招聘
Themida的简单脱壳
发表于: 2007-6-17 20:38 27581

Themida的简单脱壳

2007-6-17 20:38
27581
收藏
免费 7
支持
分享
最新回复 (81)
雪    币: 212
活跃值: (10)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
51
努力学习...
2007-6-28 10:33
0
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
52
这个壳也让我头大

Themida/WinLicense V1.8.2.0 +  -> Oreans Technologies   * Sign.By.fly *

楼主用的OD是什么版本? 手上的根本不能加载
2007-6-28 21:05
0
雪    币: 70
活跃值: (74)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
53
我真的很佩服Softworm的逆向工夫
但是好像到那种程度的时候,眼睛也要承受很大压力吧
2007-6-28 22:35
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
54
我也有问题啊```我用unthemida2.0脱  弹出0xxx 0xxx 该内存不能为read
哎```
2007-6-29 09:47
0
雪    币: 267
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
55
看不懂啊
2007-6-30 19:16
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
56
看不太明白哦,不过还是顶一个,学习中。
2007-7-1 23:40
0
雪    币: 359
活跃值: (434)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
57
呵,还不懂,看来学脱壳。还得会写脚本哪!要不做不了什么大事,呵呵
2007-7-3 23:37
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
58
楼主能不能说详细些阿
2007-7-5 22:42
0
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
59
不懂!
2007-7-5 23:20
0
雪    币: 247
活跃值: (25)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
60
从简单做起
2007-7-5 23:34
0
雪    币: 205
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
61
对我这只牛弹琴??????
2007-7-6 11:11
0
雪    币: 190
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
62
的确简单!
2007-7-7 12:43
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
63
看不懂啊··· 有动画教程就好了
2007-7-15 19:23
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
64
这样还简单啊
佩服大侠啊
2007-7-16 05:29
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
65
脱壳好难 别人的写的外挂加了Themida1.0.0.5的壳子 不会脱壳  还是自己学写外挂吧 呵呵
2007-7-16 12:20
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
66
看不懂。。。。。。。。。。。。。。
2007-7-16 13:10
0
雪    币: 264
活跃值: (30)
能力值: ( LV12,RANK:250 )
在线值:
发帖
回帖
粉丝
67
那又如何理解要在0088BAA2这里下断!!!
是不是下一个是GetVersion的模拟?
我脱了一个themida壳,stolen oep处,就没有模拟GetVersion这个函数
2007-7-16 21:46
0
雪    币: 264
活跃值: (30)
能力值: ( LV12,RANK:250 )
在线值:
发帖
回帖
粉丝
68
0040DD9A    DB18            fistp   dword ptr [eax]
0040DD9C    9E              sahf
0040DD9D    DD75 4A         fsave   (108-byte) ptr [ebp+4A]
0040DDA0    F9              stc
0040DDA1    BC 8589D200     mov     esp, 0D28985
0040DDA6    24 48           and     al, 48
0040DDA8    72 2E           jb      short 0040DDD8
0040DDAA    CA 92BC         retf    0BC92
0040DDAD    F4              hlt
0040DDAE    04 B9           add     al, 0B9
0040DDB0    0D A69D9458     or      eax, 58949DA6
0040DDB5    C8 F92294       enter   22F9, 94
0040DDB9  ^ 77 90           ja      short 0040DD4B
0040DDBB    E8 1E4D407C     call    kernel32.GetVersionExA正好偷到这一句上面的,GetVersionExA没偷
0040DDC0    8B4E 10         mov     ecx, dword ptr [esi+10]
0040DDC3    890D 3C524200   mov     dword ptr [42523C], ecx
0040DDC9    8B46 04         mov     eax, dword ptr [esi+4]
0040DDCC    A3 48524200     mov     dword ptr [425248], eax
0040DDD1    8B56 08         mov     edx, dword ptr [esi+8]
0040DDD4    8915 4C524200   mov     dword ptr [42524C], edx
0040DDDA    8B76 0C         mov     esi, dword ptr [esi+C]
0040DDDD    81E6 FF7F0000   and     esi, 7FFF
0040DDE3    8935 40524200   mov     dword ptr [425240], esi
0040DDE9    83F9 02         cmp     ecx, 2
0040DDEC    74 0C           je      short 0040DDFA
2007-7-16 21:53
0
雪    币: 264
活跃值: (30)
能力值: ( LV12,RANK:250 )
在线值:
发帖
回帖
粉丝
69
脚本日志窗口
地址       信息
4BAFBC     ret_addr: 004E9933
4BAFBC     ret_addr: 00A20ED0
4BAFBC     ret_addr: 00A20ED0
4BAFBC     ret_addr: 0052BA7E
4BAFBC     ret_addr: 0052C76A
4BAFBC     ret_addr: 0052C76A
4BAFBC     ret_addr: 0052E19A
4BAFBC     ret_addr: 0052E90E
4BAFBC     ret_addr: 0052F2CA
4BAFBC     ret_addr: 0052FA93
4BAFBC     ret_addr: 004E9933
4BAFBC     ret_addr: 00A20ED0
4BAFBC     ret_addr: 00A20ED0
4BAFBC     ret_addr: 004AF0E2
4BAFBC     ret_addr: 7C80ABC1 | kernel32.GetProcessHeap
4BAFBC     ret_addr: 7C80ADA0 | kernel32.GetProcAddress
4BAFBC     ret_addr: 7C9305D4 | ntdll.RtlAllocateHeap
4BAFBC     ret_addr: 005311F1
4BAFBC     ret_addr: 00531A4F
4BAFBC     ret_addr: 00532573
4BAFBC     ret_addr: 0052A5C4      //如果我想通过补区段,这里是dump点吗?
4BAFBC     ret_addr: 00410838 | ASCII "hP蹳"   
4BAFBC     ret_addr: 0040D200
4BAFBC     ret_addr: 0040DDBA       //伪OEP
4BAFBC     ret_addr: 7C801D77 | kernel32.LoadLibraryA       //加壳时候把LoadLibrary的调用放到虚拟机去转
4BAFBC     ret_addr: 00404C7C
新版VM出口好像变成了
popfd
retn
请softworm大侠指教
2007-7-16 22:54
0
雪    币: 264
活跃值: (30)
能力值: ( LV12,RANK:250 )
在线值:
发帖
回帖
粉丝
70
写脚本挂到CreateFile加载的kernel32!VirtualAlloc,记录分配size,
当出现连续分配0x1000,0x2000,0x10000,最后的1个出来就到了.


能不能把这个脚本也贡献出来,最近想学习点脚本,感觉脱壳用程序来挂接修复,比自己patch代码轻松很多。学习了这篇文章受益匪浅。谢谢softworm
2007-7-16 23:20
0
雪    币: 547
活跃值: (2200)
能力值: ( LV7,RANK:100 )
在线值:
发帖
回帖
粉丝
71
老大们能不能出点UPolyX v0.5 *的手脱文章啊,找了好多地方找不到资料啊
2007-7-17 00:20
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
72
很想脱,脱水不了
2007-7-19 08:20
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
73
脱壳真难,学不进去
2007-7-19 17:40
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
74
2007-7-23 15:13
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
75
膜拜一下
2007-7-23 22:19
0
游客
登录 | 注册 方可回帖
返回
//