[求助]themida脚本为什么我就是跑不起来-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[求助]themida脚本为什么我就是跑不起来

发表于: 2007-8-13 23:26 6911

[求助]themida脚本为什么我就是跑不起来

szwkq

2007-8-13 23:26

6911

今天遇到一个壳
Themida/WinLicense V1.8.2.0 +  -> Oreans Technologies * Sign.By.fly *

使用themida脚本 od但总是出现错误要进行调试不知道怎么回事那位帮看看脚本
/*
Script written by okdodo  2007/03
Tested for themida IAT restore and OEP find~

Ollyice: Ignore all exceptions (add 0EEDFADE,C0000005,C000001E)
HideOD : Check HideNtDebugBit and ZwQueryInformationProcess(method2)

Test Environment : Ollyice 1.1 + HideOD
               ODBGScript 1.52 under WINXP
Thanks :
      kanxue    - author of HideOD
      hnhuqiong  - author of ODbgScript 1.52
*/

data:
var cbase
var csize
var dllimg
var pmbase
var apibase
var mem

gmi eip,CODEBASE
mov cbase,$RESULT
gmi eip,CODESIZE
mov csize,$RESULT
gmemi eip,MEMORYBASE
mov dllimg,$RESULT
log dllimg

findapibase:
gpa "GetLocalTime", "kernel32.dll"
mov tmpbp,$RESULT
cmp tmpbp,0
je stop
bphws tmpbp ,"x"
esto
bphwc tmpbp
rtu
gpa "VirtualAlloc", "kernel32.dll"
mov tmpbp,$RESULT
cmp tmpbp,0
je stop
bphws tmpbp ,"x"
esto
bphwc tmpbp
rtu
mov apibase,eax
log apibase
gpa "LoadLibraryA", "kernel32.dll"
mov tmpbp,$RESULT
cmp tmpbp,0
je stop
bphws tmpbp ,"x"
esto
bphwc tmpbp
rtu

findVirtualAlloc:
find apibase,#558BECFF7514FF7510FF750CFF75086AFFE8090000005DC21000#
mov tmpbp,$RESULT
cmp tmpbp,0
je stop
bphws tmpbp ,"x"

iatloop:
esto
mov tmp,[esp]
find dllimg,#50516033C0#
cmp $RESULT,0
jne iatpatch
jmp iatloop

iatpatch:
bphwc tmpbp
find eip,#C21000#
bphws $RESULT,"x"
esto
bphwc $RESULT
sti
mov tmpbp,tmp
find tmpbp,#0F850A000000C785#
mov tmpbp,$RESULT
mov [tmpbp],0A0EEB
find tmpbp,#0F84390000003B8D#
mov tmpbp,$RESULT
mov [tmpbp],3928EB

alloc 1000
mov mem, $RESULT
log mem
mov tmp,mem
mov [tmp],#A3000000008908ADC746FC00000000E90000000050A1000000008907807FFFE8750866C747FEFF15EB0666C747FEFF2558E90000000050A100000000894701807FFFE8750866C747FFFF15EB0666C747FFFF25580F8500000000E90000000083C704E900000000#
mov memtmp,tmp
add memtmp,100
add tmp,1
mov [tmp],memtmp
add tmp,15
mov [tmp],memtmp
add tmp,22
mov [tmp],memtmp
mov tmp,mem

find tmpbp,#8908AD#
mov tmpbp,$RESULT
mov addr1,tmpbp
add addr1,0A
eval "jmp {tmp}"
asm tmpbp, $RESULT

find tmpbp,#E92400000058#
mov tmpbp,$RESULT
add tmp,14
eval "jmp {tmp}"
asm tmpbp, $RESULT

find tmpbp,#0F851800000083BD#
mov tmpbp,$RESULT
mov addr3,tmpbp
add addr3,06
add tmp,22
eval "jmp {tmp}"
asm tmpbp, $RESULT

find tmpbp,#884704#
mov tmpbp,$RESULT
mov addr2,tmpbp
add addr2,03
mov [tmpbp],#909090#

find tmpbp,#ABAD#
mov tmpbp,$RESULT
mov [tmpbp],#90#

add tmpbp,9
add tmp,29
eval "jmp {tmp}"
asm tmpbp, $RESULT

mov memtmp,mem
add memtmp,0F
eval "jmp {addr1}"
asm memtmp, $RESULT
add memtmp,22
eval "jmp {addr2}"
asm memtmp, $RESULT
add memtmp,23
eval "jne {addr2}"
asm memtmp, $RESULT
add memtmp,06
eval "jmp {addr3}"
asm memtmp, $RESULT
add memtmp,08
eval "jmp {addr1}"
asm memtmp, $RESULT

find eip,#C7010000000083C104#
mov tmpbp,$RESULT
add tmpbp,14
bphws tmpbp,"x"
esto
bphwc tmpbp

mov tmp,cbase
add tmp,csize

findoep:
bprm cbase,csize
esto
bpmc
cmp eip,tmp
ja findoep
msg "script finished,check the oep place by yourself~"
ret

stop:
pause

apierror:
pause

是在看学上找的  运行平台xp2

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・0

免费・0

支持

最新回复 (11)
szwkq 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 8 粉丝 0 关注私信	szwkq 2 楼别沉了 —————————————————— 2007-8-13 23:40 0
okdodo 雪币： 233 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 12 回帖 396 粉丝 1 关注私信	okdodo 2 3 楼这个脚本只是针对某些旧版TMD的新版处理IAT部分特征码有变~ 2007-8-14 08:16 0
笨l笨雪币： 224 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 99 粉丝 0 关注私信	笨l笨 4 楼要修改版的OD才能运行这脚本！！ http://www.unpack.cn/thread-16176-1-1.html FLY的说明 2007-8-15 11:20 0
Second 雪币： 608 活跃值： (91) 能力值： ( LV4，RANK：50 ) 在线值：发帖 13 回帖 179 粉丝 0 关注私信	Second 1 5 楼那位帮看看脚本? 脚本应该没有问题,查查是不是OD,或者你的壳是不是符合脚本的要求. 2007-8-15 13:12 0
baos 雪币： 86 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 76 粉丝 0 关注私信	baos 6 楼我一直尝试老进不到OEP。唉。 2008-1-14 13:33 0
luxiangwu 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 28 粉丝 0 关注私信	luxiangwu 7 楼 Themida\|WinLicense V1.9.2.0 -> Oreans Technologies *壳应该怎么脱，忘高手指点．　　由于对现在的一些游戏比较赶兴趣，所以想学习一下脱壳，目前大多数的壳我都可以脱，但这个我弄了很久始终无法解决，忘大虾们帮助，在此感激了！！　　　　　　　呵呵　　　大家多多指点　　＼　　　　　　　　　　　　　　　　　虚心学习我！！！！１１ 2008-1-16 05:45 0
luxiangwu 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 28 粉丝 0 关注私信	luxiangwu 8 楼为什么没人回复我？ 2008-1-17 15:33 0
luxiangwu 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 28 粉丝 0 关注私信	luxiangwu 9 楼我也跑不起来，我运行的脚本是TMDScript-1.9.1+_0.3运行出现错误１２．不明白为什么．希望哪位高手帮助解决一下哦！ 2008-1-17 20:23 0
sunmanlove 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 4 回帖 24 粉丝 0 关注私信	sunmanlove 10 楼这里没有什么热心人的.垃圾论坛 2008-1-23 12:12 0
kanxue 雪币： 44229 活跃值： (19955) 能力值： (RANK：350 ) 在线值：发帖 2369 回帖 17027 粉丝 528 关注私信	kanxue 8 11 楼批评的话虽不舒服，但你批评就说明你关注论坛，我们会努力改变现状的。这里大多数还是很热心的，有些时候，提问者也要反思一下自己。比如这个问题，okdodo等就给了提示。别人最多给思路，更多的时候还是想靠自己去解决。 2008-1-23 12:19 0
gudongle 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 21 粉丝 0 关注私信	gudongle 12 楼这个..我也是老毛病.... 2008-1-26 23:26 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

szwkq

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (11)
szwkq 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 8 粉丝 0 关注私信	szwkq 2 楼别沉了 —————————————————— 2007-8-13 23:40 0
okdodo 雪币： 233 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 12 回帖 396 粉丝 1 关注私信	okdodo 2 3 楼这个脚本只是针对某些旧版TMD的新版处理IAT部分特征码有变~ 2007-8-14 08:16 0
笨l笨雪币： 224 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 99 粉丝 0 关注私信	笨l笨 4 楼要修改版的OD才能运行这脚本！！ http://www.unpack.cn/thread-16176-1-1.html FLY的说明 2007-8-15 11:20 0
Second 雪币： 608 活跃值： (91) 能力值： ( LV4，RANK：50 ) 在线值：发帖 13 回帖 179 粉丝 0 关注私信	Second 1 5 楼那位帮看看脚本? 脚本应该没有问题,查查是不是OD,或者你的壳是不是符合脚本的要求. 2007-8-15 13:12 0
baos 雪币： 86 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 76 粉丝 0 关注私信	baos 6 楼我一直尝试老进不到OEP。唉。 2008-1-14 13:33 0
luxiangwu 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 28 粉丝 0 关注私信	luxiangwu 7 楼 Themida\|WinLicense V1.9.2.0 -> Oreans Technologies *壳应该怎么脱，忘高手指点．　　由于对现在的一些游戏比较赶兴趣，所以想学习一下脱壳，目前大多数的壳我都可以脱，但这个我弄了很久始终无法解决，忘大虾们帮助，在此感激了！！　　　　　　　呵呵　　　大家多多指点　　＼　　　　　　　　　　　　　　　　　虚心学习我！！！！１１ 2008-1-16 05:45 0
luxiangwu 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 28 粉丝 0 关注私信	luxiangwu 8 楼为什么没人回复我？ 2008-1-17 15:33 0
luxiangwu 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 28 粉丝 0 关注私信	luxiangwu 9 楼我也跑不起来，我运行的脚本是TMDScript-1.9.1+_0.3运行出现错误１２．不明白为什么．希望哪位高手帮助解决一下哦！ 2008-1-17 20:23 0
sunmanlove 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 4 回帖 24 粉丝 0 关注私信	sunmanlove 10 楼这里没有什么热心人的.垃圾论坛 2008-1-23 12:12 0
kanxue 雪币： 44229 活跃值： (19955) 能力值： (RANK：350 ) 在线值：发帖 2369 回帖 17027 粉丝 528 关注私信	kanxue 8 11 楼批评的话虽不舒服，但你批评就说明你关注论坛，我们会努力改变现状的。这里大多数还是很热心的，有些时候，提问者也要反思一下自己。比如这个问题，okdodo等就给了提示。别人最多给思路，更多的时候还是想靠自己去解决。 2008-1-23 12:19 0
gudongle 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 21 粉丝 0 关注私信	gudongle 12 楼这个..我也是老毛病.... 2008-1-26 23:26 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[求助]themida脚本 为什么我就是跑不起来

[求助]themida脚本为什么我就是跑不起来