[讨论]Themida壳能否这样脱？-经典问答-看雪-安全社区|安全招聘|kanxue.com

[讨论]Themida壳能否这样脱？

发表于: 2007-7-8 00:26 3815

[讨论]Themida壳能否这样脱？

三颗糖

2007-7-8 00:26

3815

本人只会暴破，想学习脱壳。试着用THEMIDA给一软件加壳来试试。OL载入加壳过的EXE（不用脚本也不知道怎么用）来到这里，按暴破法查FIND ASII 什么也没有无法下手
006C9014 P>  B8 00000000       mov eax,0
006C9019    60                pushad
006C901A    0BC0                or eax,eax
006C901C    74 58             je short Project2.006C9076
006C901E    E8 00000000       call Project2.006C9023
006C9023    58                pop eax
006C9024    05 43000000       add eax,43
006C9029    8038 E9             cmp byte ptr ds:[eax],0E9
006C902C    75 03             jnz short Project2.006C9031
006C902E    61                popad
006C902F    EB 35             jmp short Project2.006C9066
006C9031    E8 00000000       call Project2.006C9036
006C9036    58                pop eax
006C9037    25 00F0FFFF       and eax,FFFFF000
006C903C    33FF                xor edi,edi
006C903E    66:BB 195A          mov bx,5A19
006C9042    66:83C3 34          add bx,34
006C9046    66:3918             cmp word ptr ds:[eax],bx
006C9049    75 12             jnz short Project2.006C905D
006C904B    0FB750 3C          movzx edx,word ptr ds:[eax+3C]
后来发现先运行EXE在打开OD附加打开的EXE再停再在这里：
77FA144C    C3                retn
77FA144D n>  CC                int3
77FA144E    C3                retn
77FA144F    8B4424 04          mov eax,dword ptr ss:[esp+4]
77FA1453    CC                int3
77FA1454    C2 0400             retn 4
F9后再暂停，查看窗口，已经看的见加密狗的窗口了，随便选一个跟随后来到：
00447ED8    55                push ebp
00447ED9    8BEC                mov ebp,esp
00447EDB    51                push ecx
00447EDC    53                push ebx
00447EDD    8D5D FC             lea ebx,dword ptr ss:[ebp-4]
00447EE0    A1 749B5E00       mov eax,dword ptr ds:[5E9B74]
00447EE5    8B55 08             mov edx,dword ptr ss:[ebp+8]
00447EE8    8990 80010000       mov dword ptr ds:[eax+180],edx
00447EEE    A1 749B5E00       mov eax,dword ptr ds:[5E9B74]
00447EF3    8B80 8C010000       mov eax,dword ptr ds:[eax+18C]
00447EF9    50                push eax
00447EFA    6A FC             push -4
00447EFC    8B45 08             mov eax,dword ptr ss:[ebp+8]
00447EFF    50                push eax
00447F00    E8 CB04FCFF       call Project2.004083D0
00447F05    6A F0             push -10
00447F07    8B45 08             mov eax,dword ptr ss:[ebp+8]
00447F0A    50                push eax
00447F0B    E8 6802FCFF       call Project2.00408178

和未加密是差不多，但不能修改，（改出来的也不能运行）既然已经看见了是否可以直接DMUP出来再修复啊？希望高手指点

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

收藏・0

免费・0

支持

最新回复 (2)
kanxue 雪币： 47147 活跃值： (20460) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 541 关注私信	kanxue 8 2 楼不能这样直接DMUP的，一船在OEP处Dump，此时内存中的数据还没被初始化。另外，还要修复输入表，建议你到脱壳版块看看置顶帖。 2007-7-8 15:15 0
wqrsksk 雪币： 208 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 70 回帖 569 粉丝 0 关注私信	wqrsksk 3 楼终于发现老大用五笔打了个BUG.....一(船)　→般　　在OEP处Dump　　　哈哈哈哈！ 2007-7-8 16:48 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

三颗糖

发帖

回帖

RANK

关注

私信

他的文章

<分享>微狗编辑工具DOGEDT32 13445
[讨论]Themida壳能否这样脱？ 3816

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (2)
kanxue 雪币： 47147 活跃值： (20460) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 541 关注私信	kanxue 8 2 楼不能这样直接DMUP的，一船在OEP处Dump，此时内存中的数据还没被初始化。另外，还要修复输入表，建议你到脱壳版块看看置顶帖。 2007-7-8 15:15 0
wqrsksk 雪币： 208 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 70 回帖 569 粉丝 0 关注私信	wqrsksk 3 楼终于发现老大用五笔打了个BUG.....一(船)　→般　　在OEP处Dump　　　哈哈哈哈！ 2007-7-8 16:48 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复