[求助]关于Themida 1.8.x脱壳遇到的问题-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (16)
kanxue 雪币： 47147 活跃值： (20405) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 539 关注私信	kanxue 8 2 楼如真是1.8.x的版本，你可以 http://www.pediy.com/tools/Debuggers/ollydbg/OllyICE.rar，调试，设置插件HideDO适当的选项，选项仅选HideNtDebugBit,ZwQueryInformationProcess。如是1.9.x版本就不行了，得用其他插件或工具隐藏OD。 2007-7-10 21:01 0
nisila 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 29 粉丝 0 关注私信	nisila 3 楼谢谢老大赐教我再去试试看有不懂的再请教你 2007-7-10 21:23 0
starsoul 雪币： 49 活跃值： (156) 能力值： ( LV2，RANK：10 ) 在线值：发帖 32 回帖 100 粉丝 0 关注私信	starsoul 4 楼 1.9.x版本好像还没看到有人讨论哦. 2007-7-10 22:18 0
nisila 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 29 粉丝 0 关注私信	nisila 5 楼我用THEMIDA脚本（for IAT restore）已经可以了，提示脚本执行完毕，请自行查找oep。请问各位，怎么找oep呢？有没有这方面的资料给我参考一下。我是新手，想学习。。谢谢 2007-7-13 05:55 0
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 66 回帖 1050 粉丝 13 关注私信	softworm 30 6 楼昨天看了一下,和以前的没有多大区别,vm结构没有变(我上次看错了),但vm里面没有看。有变化的是：很多代码用vm里同样的方式变形了,这样要写脚本或脱壳机更麻烦了 2007-7-13 12:31 0
nisila 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 29 粉丝 0 关注私信	nisila 7 楼坛主可以教教我吗？谢谢 2007-7-13 19:05 0
nisila 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 29 粉丝 0 关注私信	nisila 8 楼我用脚本之后，就停在这里了，不知道oep是不是在附近，请懂的人指点一下我，谢谢 00401B18 /EB 10 jmp short 00401B2A 00401B1A \|66:623A bound di, dword ptr [edx] 00401B1D \|43 inc ebx 00401B1E \|2B2B sub ebp, dword ptr [ebx] 00401B20 \|48 dec eax 00401B21 \|4F dec edi 00401B22 \|4F dec edi 00401B23 \|4B dec ebx 00401B24 \|90 nop 00401B25 -\|E9 98806D00 jmp 00AD9BC2 00401B2A \A1 8B806D00 mov eax, dword ptr [6D808B] 00401B2F C1E0 02 shl eax, 2 00401B32 A3 8F806D00 mov dword ptr [6D808F], eax 00401B37 52 push edx 00401B38 6A 00 push 0 00401B3A E8 794E2D00 call 006D69B8 ; jmp 到 kernel32.GetModuleHandleA 00401B3F 8BD0 mov edx, eax 00401B41 E8 FE4F2400 call 00646B44 00401B46 5A pop edx 00401B47 E8 204F2400 call 00646A6C 00401B4C E8 33502400 call 00646B84 00401B51 6A 00 push 0 00401B53 E8 08612400 call 00647C60 00401B58 59 pop ecx 00401B59 68 34806D00 push 006D8034 00401B5E 6A 00 push 0 00401B60 E8 534E2D00 call 006D69B8 ; jmp 到 kernel32.GetModuleHandleA 00401B65 A3 93806D00 mov dword ptr [6D8093], eax 00401B6A 6A 00 push 0 00401B6C E9 1BE82400 jmp 0065038C 00401B71 > E9 3A612400 jmp 00647CB0 00401B76 33C0 xor eax, eax 00401B78 A0 7D806D00 mov al, byte ptr [6D807D] 00401B7D C3 retn 00401B7E A1 93806D00 mov eax, dword ptr [6D8093] 00401B83 C3 retn 00401B84 60 pushad 00401B85 BB 0050B0BC mov ebx, BCB05000 00401B8A 53 push ebx 00401B8B 68 AD0B0000 push 0BAD 00401B90 C3 retn 00401B91 B9 D0010000 mov ecx, 1D0 00401B96 0BC9 or ecx, ecx 00401B98 74 4D je short 00401BE7 00401B9A 833D 8B806D00 0>cmp dword ptr [6D808B], 0 00401BA1 73 0A jnb short 00401BAD 00401BA3 B8 FE000000 mov eax, 0FE 00401BA8 E8 D7FFFFFF call 00401B84 00401BAD B9 D0010000 mov ecx, 1D0 00401BB2 51 push ecx 00401BB3 6A 08 push 8 00401BB5 E8 164E2D00 call 006D69D0 ; jmp 到 kernel32.GetProcessHeap 00401BBA 50 push eax 00401BBB E8 A64E2D00 call 006D6A66 ; jmp 到 ntdll.RtlAllocateHeap 00401BC0 0BC0 or eax, eax 00401BC2 75 0A jnz short 00401BCE 00401BC4 B8 FD000000 mov eax, 0FD 00401BC9 E8 B6FFFFFF call 00401B84 00401BCE 50 push eax 00401BCF 50 push eax 00401BD0 FF35 8B806D00 push dword ptr [6D808B] 00401BD6 E8 E5E92400 call 006505C0 00401BDB FF35 8B806D00 push dword ptr [6D808B] 00401BE1 E8 EEE92400 call 006505D4 00401BE6 5F pop edi 00401BE7 C3 retn 00401BE8 B9 D0010000 mov ecx, 1D0 00401BED 0BC9 or ecx, ecx 00401BEF 74 19 je short 00401C0A 00401BF1 E8 A2E92400 call 00650598 00401BF6 A3 8B806D00 mov dword ptr [6D808B], eax 00401BFB 83F8 00 cmp eax, 0 00401BFE ^ 73 91 jnb short 00401B91 00401C00 B8 FC000000 mov eax, 0FC 00401C05 E8 7AFFFFFF call 00401B84 00401C0A C3 retn 00401C0B 833D 8B806D00 0>cmp dword ptr [6D808B], 0 00401C12 72 28 jb short 00401C3C 00401C14 FF35 8B806D00 push dword ptr [6D808B] 2007-7-15 07:42 0
kangaroo 雪币： 264 活跃值： (30) 能力值： ( LV12，RANK：250 ) 在线值：发帖 23 回帖 551 粉丝 1 关注私信	kangaroo 6 9 楼伪oep,代码被偷了，还原一下 2007-7-15 10:12 0
ccfer 雪币： 8209 活跃值： (4518) 能力值： ( LV15，RANK：2473 ) 在线值：发帖 84 回帖 1529 粉丝 106 关注私信	ccfer 16 10 楼已经是很正常的oep了 2007-7-15 10:34 0
nisila 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 29 粉丝 0 关注私信	nisila 11 楼 ccfer 可以告诉我怎么找oep吗？诚心请教中。。。 2007-7-15 11:42 0
nisila 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 29 粉丝 0 关注私信	nisila 12 楼大家帮我看看呢。。。oep在哪里哦 2007-7-15 15:03 0
skyhk 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 12 粉丝 0 关注私信	skyhk 13 楼这个看起来好难啊，哎··· 2007-7-15 19:08 0
突然厉害雪币： 210 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 62 粉丝 0 关注私信	突然厉害 14 楼 BC++的oep。这个回复竟然也上来了，汗~~~~和下面的一样。 2007-7-17 09:33 0
突然厉害雪币： 210 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 62 粉丝 0 关注私信	突然厉害 15 楼 Borland c++ 1999的OEP，没有偷代码。 2007-7-17 11:44 0
zzz3265 雪币： 251 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 28 粉丝 0 关注私信	zzz3265 16 楼幸福啊! 俺的一个程序好像也是Themida 的运行脚本找不到特征码 2007-7-25 11:34 0
Paull 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 11 粉丝 0 关注私信	Paull 17 楼 [QUOTE=nisila;334663]我用脚本之后，就停在这里了，不知道oep是不是在附近，请懂的人指点一下我，谢谢 00401B18 /EB 10 jmp short 00401B2A 00401B1A \|66:623A bound di, dword ptr [edx] ...[/QUOTE] 伪OEP，你这好像是Boarland C++的，要手工修复代码 2007-8-22 06:01 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (16)
kanxue 雪币： 47147 活跃值： (20405) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 539 关注私信	kanxue 8 2 楼如真是1.8.x的版本，你可以 http://www.pediy.com/tools/Debuggers/ollydbg/OllyICE.rar，调试，设置插件HideDO适当的选项，选项仅选HideNtDebugBit,ZwQueryInformationProcess。如是1.9.x版本就不行了，得用其他插件或工具隐藏OD。 2007-7-10 21:01 0
nisila 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 29 粉丝 0 关注私信	nisila 3 楼谢谢老大赐教我再去试试看有不懂的再请教你 2007-7-10 21:23 0
starsoul 雪币： 49 活跃值： (156) 能力值： ( LV2，RANK：10 ) 在线值：发帖 32 回帖 100 粉丝 0 关注私信	starsoul 4 楼 1.9.x版本好像还没看到有人讨论哦. 2007-7-10 22:18 0
nisila 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 29 粉丝 0 关注私信	nisila 5 楼我用THEMIDA脚本（for IAT restore）已经可以了，提示脚本执行完毕，请自行查找oep。请问各位，怎么找oep呢？有没有这方面的资料给我参考一下。我是新手，想学习。。谢谢 2007-7-13 05:55 0
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 66 回帖 1050 粉丝 13 关注私信	softworm 30 6 楼昨天看了一下,和以前的没有多大区别,vm结构没有变(我上次看错了),但vm里面没有看。有变化的是：很多代码用vm里同样的方式变形了,这样要写脚本或脱壳机更麻烦了 2007-7-13 12:31 0
nisila 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 29 粉丝 0 关注私信	nisila 7 楼坛主可以教教我吗？谢谢 2007-7-13 19:05 0
nisila 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 29 粉丝 0 关注私信	nisila 8 楼我用脚本之后，就停在这里了，不知道oep是不是在附近，请懂的人指点一下我，谢谢 00401B18 /EB 10 jmp short 00401B2A 00401B1A \|66:623A bound di, dword ptr [edx] 00401B1D \|43 inc ebx 00401B1E \|2B2B sub ebp, dword ptr [ebx] 00401B20 \|48 dec eax 00401B21 \|4F dec edi 00401B22 \|4F dec edi 00401B23 \|4B dec ebx 00401B24 \|90 nop 00401B25 -\|E9 98806D00 jmp 00AD9BC2 00401B2A \A1 8B806D00 mov eax, dword ptr [6D808B] 00401B2F C1E0 02 shl eax, 2 00401B32 A3 8F806D00 mov dword ptr [6D808F], eax 00401B37 52 push edx 00401B38 6A 00 push 0 00401B3A E8 794E2D00 call 006D69B8 ; jmp 到 kernel32.GetModuleHandleA 00401B3F 8BD0 mov edx, eax 00401B41 E8 FE4F2400 call 00646B44 00401B46 5A pop edx 00401B47 E8 204F2400 call 00646A6C 00401B4C E8 33502400 call 00646B84 00401B51 6A 00 push 0 00401B53 E8 08612400 call 00647C60 00401B58 59 pop ecx 00401B59 68 34806D00 push 006D8034 00401B5E 6A 00 push 0 00401B60 E8 534E2D00 call 006D69B8 ; jmp 到 kernel32.GetModuleHandleA 00401B65 A3 93806D00 mov dword ptr [6D8093], eax 00401B6A 6A 00 push 0 00401B6C E9 1BE82400 jmp 0065038C 00401B71 > E9 3A612400 jmp 00647CB0 00401B76 33C0 xor eax, eax 00401B78 A0 7D806D00 mov al, byte ptr [6D807D] 00401B7D C3 retn 00401B7E A1 93806D00 mov eax, dword ptr [6D8093] 00401B83 C3 retn 00401B84 60 pushad 00401B85 BB 0050B0BC mov ebx, BCB05000 00401B8A 53 push ebx 00401B8B 68 AD0B0000 push 0BAD 00401B90 C3 retn 00401B91 B9 D0010000 mov ecx, 1D0 00401B96 0BC9 or ecx, ecx 00401B98 74 4D je short 00401BE7 00401B9A 833D 8B806D00 0>cmp dword ptr [6D808B], 0 00401BA1 73 0A jnb short 00401BAD 00401BA3 B8 FE000000 mov eax, 0FE 00401BA8 E8 D7FFFFFF call 00401B84 00401BAD B9 D0010000 mov ecx, 1D0 00401BB2 51 push ecx 00401BB3 6A 08 push 8 00401BB5 E8 164E2D00 call 006D69D0 ; jmp 到 kernel32.GetProcessHeap 00401BBA 50 push eax 00401BBB E8 A64E2D00 call 006D6A66 ; jmp 到 ntdll.RtlAllocateHeap 00401BC0 0BC0 or eax, eax 00401BC2 75 0A jnz short 00401BCE 00401BC4 B8 FD000000 mov eax, 0FD 00401BC9 E8 B6FFFFFF call 00401B84 00401BCE 50 push eax 00401BCF 50 push eax 00401BD0 FF35 8B806D00 push dword ptr [6D808B] 00401BD6 E8 E5E92400 call 006505C0 00401BDB FF35 8B806D00 push dword ptr [6D808B] 00401BE1 E8 EEE92400 call 006505D4 00401BE6 5F pop edi 00401BE7 C3 retn 00401BE8 B9 D0010000 mov ecx, 1D0 00401BED 0BC9 or ecx, ecx 00401BEF 74 19 je short 00401C0A 00401BF1 E8 A2E92400 call 00650598 00401BF6 A3 8B806D00 mov dword ptr [6D808B], eax 00401BFB 83F8 00 cmp eax, 0 00401BFE ^ 73 91 jnb short 00401B91 00401C00 B8 FC000000 mov eax, 0FC 00401C05 E8 7AFFFFFF call 00401B84 00401C0A C3 retn 00401C0B 833D 8B806D00 0>cmp dword ptr [6D808B], 0 00401C12 72 28 jb short 00401C3C 00401C14 FF35 8B806D00 push dword ptr [6D808B] 2007-7-15 07:42 0
kangaroo 雪币： 264 活跃值： (30) 能力值： ( LV12，RANK：250 ) 在线值：发帖 23 回帖 551 粉丝 1 关注私信	kangaroo 6 9 楼伪oep,代码被偷了，还原一下 2007-7-15 10:12 0
ccfer 雪币： 8209 活跃值： (4518) 能力值： ( LV15，RANK：2473 ) 在线值：发帖 84 回帖 1529 粉丝 106 关注私信	ccfer 16 10 楼已经是很正常的oep了 2007-7-15 10:34 0
nisila 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 29 粉丝 0 关注私信	nisila 11 楼 ccfer 可以告诉我怎么找oep吗？诚心请教中。。。 2007-7-15 11:42 0
nisila 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 29 粉丝 0 关注私信	nisila 12 楼大家帮我看看呢。。。oep在哪里哦 2007-7-15 15:03 0
skyhk 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 12 粉丝 0 关注私信	skyhk 13 楼这个看起来好难啊，哎··· 2007-7-15 19:08 0
突然厉害雪币： 210 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 62 粉丝 0 关注私信	突然厉害 14 楼 BC++的oep。这个回复竟然也上来了，汗~~~~和下面的一样。 2007-7-17 09:33 0
突然厉害雪币： 210 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 62 粉丝 0 关注私信	突然厉害 15 楼 Borland c++ 1999的OEP，没有偷代码。 2007-7-17 11:44 0
zzz3265 雪币： 251 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 28 粉丝 0 关注私信	zzz3265 16 楼幸福啊! 俺的一个程序好像也是Themida 的运行脚本找不到特征码 2007-7-25 11:34 0
Paull 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 11 粉丝 0 关注私信	Paull 17 楼 [QUOTE=nisila;334663]我用脚本之后，就停在这里了，不知道oep是不是在附近，请懂的人指点一下我，谢谢 00401B18 /EB 10 jmp short 00401B2A 00401B1A \|66:623A bound di, dword ptr [edx] ...[/QUOTE] 伪OEP，你这好像是Boarland C++的，要手工修复代码 2007-8-22 06:01 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复