[原创]ThemidaScript for 1.9.10+-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[原创]ThemidaScript for 1.9.10+

发表于: 2007-8-14 17:08 27301

[原创]ThemidaScript for 1.9.10+

fxyang

2007-8-14 17:08

27301

ThemidaScript for 1.9.10+

测试版本，问题多多。首先的问题你得让OD能跑起来！

///////////////////////////////////////////
/// by fxyang                               ///
/// version  0.3                            ///
/// 感谢 fly 的建议，海风月影测试 ///
////////////////////////////////////////////
data:
var cbase
var csize
var dllimg
var dllsize
var mem
var getprocadd
var gatprocadd_2
var tmp
var temp

cmp $VERSION, "1.52"
jb odbgver

bphwcall
bpmc
gmi eip,CODEBASE
mov cbase,$RESULT
gmi eip,CODESIZE
mov csize,$RESULT
gmemi eip,MEMORYBASE    //壳段的基地址
mov dllimg,$RESULT
log dllimg
gmemi eip,MEMORYSIZE    //壳段的长度
mov dllsize,$RESULT
log dllsize

findapibase:
gpa "GetProcAddress", "kernel32.dll"
mov getprocadd,$RESULT                //取GetProcAddress函数地址，用于定位加密表
cmp getprocadd,0
gpa "_lclose","kernel32.dll"          //同上
mov getprocadd_2,$RESULT
gpa "GetLocalTime", "kernel32.dll"    //下面代码取自okdodo 感谢 okdodo
mov tmpbp,$RESULT
cmp tmpbp,0
je stop
bphws tmpbp ,"x"
esto
bphwc tmpbp
rtu
gpa "VirtualAlloc", "kernel32.dll"
mov tmpbp,$RESULT
cmp tmpbp,0
je stop
bphws tmpbp ,"x"
esto
bphwc tmpbp
rtu
mov apibase,eax
log apibase
gpa "LoadLibraryA", "kernel32.dll"
mov tmpbp,$RESULT
cmp tmpbp,0
je stop
bphws tmpbp ,"x"
esto

bphwc tmpbp
rtu
findVirtualAlloc:
find apibase,#558BECFF7514FF7510FF750CFF75086AFFE8090000005DC21000#    //查找被虚拟的VirtualAlloc函数
mov tmpbp,$RESULT
cmp tmpbp,0
je win2003
bphws tmpbp ,"x"
jmp tmploop

win2003:
find apibase,#558BECFF7514FF7510FF750CFF75086AFFE878FFFFFF5DC21000#
mov tmpbp,$RESULT
cmp tmpbp,0
je stop
bphws tmpbp ,"x"

tmploop:
                           //下面代码重新改写
esto
cmp eax,getprocadd                      //定位加密表出现时机
je iatbegin
cmp eax,getprocadd_2
je iatbegin
jne tmploop

iatbegin:
esto
esto

bphwcall
rtr
sti
sti
find eip, #8BB5??????09#
mov tmpbp,$RESULT
cmp tmpbp,0
jne next1
find eip, #8BB5??????06#
mov tmpbp,$RESULT
cmp tmpbp,0
je findnext_1
next1:
bphws tmpbp ,"x"
esto

sti
var iatcalltop    //加密表的首地址
var iatcallend
mov iatcalltop,esi
find iatcalltop,#00000000#
mov iatcallend,$RESULT
log iatcallend
var iatfn
var iattop
var codeadd
var antiadd
bphwcall
jmp codebegin

findnext_1:
sti
find dllimg, #FFFFFFFFDDDDDDDD#
mov tmpbp,$RESULT
cmp tmpbp,0
je notlb

var iatcalltop    //加密表的首地址
var iatcallend
mov iatcalltop,$RESULT
sub iatcalltop,10
log iatcalltop
find iatcalltop,#00000000#
mov iatcallend,$RESULT
log iatcallend
var iatfn
var iattop
var codeadd
var antiadd
mov tmp,eax
mov eax,iatcalltop
mov eax,[eax]
shr eax,10
cmp ax,0
jne iatbegin_2
add iatcalltop,04
iatbegin_2:
mov eax,tmp

codebegin:
bphws iatcalltop,"r"
esto

bphwcall
find eip,#83BD????????01#
bphws $RESULT ,"x"
mov antiadd,$RESULT
esto

sti
bphwcall
mov temp,eip
mov [temp],#909090909090#
mov tmp,0
loop1:
find eip,#3B8D????????0F84#,100
bphws $RESULT ,"x"
esto

bphwcall
mov iatfn,eax       //获得函数，并修改magic jump
log iatfn
sti
mov temp,eip
mov [temp],#909090909090#
inc tmp
cmp tmp,03
je next_1
jmp loop1

next_1:
add iatcalltop,04
bphws iatcalltop,"r"
esto

bphwcall
findiataddpro:             //iataddress
find eip,#0385????????#,100
bphws $RESULT,"x"
esto

sti
bphwcall
mov iattop,eax       //此时EAX是iat表中函数写入地址，然后判断这个值最小时就是iat基地址
log iattop
mov iatcalltop,esi
bphws antiadd,"r"
esto

find eip,#3985??????0?0F84#,
mov temp, $RESULT
bphws temp,"x"
esto

bphwcall
sti
mov temp,eip
mov [temp],#90E9#       //处理效验
log temp
sub iatcallend,04
bphws iatcallend,"w"
esto

sti
sti
mov tmp,cbase
add tmp,csize

loopoep:
bprm cbase,csize
esto
bpmc

cmp tmp,eip
ja findoep
jmp loopoep

findoep:
exec
pushad
pushfd
ende

mov ecx,cbase
add csize,cbase
mov edx,csize
var iatadd
mov iatadd,iattop
loopiatadd:
sub iatadd,04
cmp [iatadd],0
je iataddbase
jmp loopiatadd
iataddbase:
mov iattop,iatadd
sub iattop,04
cmp [iattop],0
je findiatbase
jmp loopiatadd
findiatbase:

add iatadd,04
mov ebx,iatadd
log iatadd
mov [iatcalltop],#8A013CE89074273CE97423668B01663DFF157477663DFF25747183390090750383C104413BCA0F8FDE000000EBD2909090909090909090909090909090909090909090909090909090908B690103E983C5058BF3AD83F800750A833E009074C3909090903BE87402EBEA8079FF9075218039E9750866C741FFFF25EB0666C741FFFF1583EE04897101EB2190EB269090908039E9750866C701FF2590EB0566C701FF159083EE04897102909083C104E96FFFFFFF908B690203E983C5068BF3AD83F800750A833E00900F8454FFFFFF3BE87402EBEA8079FF907521668139FF15750866C741FFFF15EB0866C741FFFF2583EE04897101EB0A0000000083EE0489710283C104E919FFFFFF909090#
mov tmp,eip
log tmp
mov eip,iatcalltop
sti
mov temp,iatcalltop
add temp,010c
bphws temp,"x"
esto

bphwcall
mov eip,tmp
bp eip

exec
popfd
popad
ende
bc eip

msg "脚本执行完成，iat表修复完成，现在停在伪OEP，请修复代码！"
eval "IAT基地址在:{iatadd}"
msg $RESULT
ret

notlb:
msg "没有加密表，可能是以前版本！"
pause

stop:

msg "可能是旧版本"
pause

登录后可查看完整内容

[注意]APP应用上架合规检测服务，协助应用顺利上架！

上传的附件：

TMDScript-1.9.1+_0.3.rar （1.84kb，1230次下载）

收藏・14

免费・7

支持

最新回复 (63) 1 2 3 ▶
无奈无赖雪币： 117 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 728 粉丝 2 关注私信	无奈无赖 2 楼沙发先下来收藏了。 2007-8-14 17:10 0
bwin 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 183 粉丝 0 关注私信	bwin 3 楼 ou 是来学习的顶and学习 2007-8-14 17:39 0
tzl 雪币： 259 活跃值： (1704) 能力值： ( LV9，RANK：410 ) 在线值：发帖 21 回帖 532 粉丝 0 关注私信	tzl 10 4 楼测试一下,谢谢! 2007-8-14 18:15 0
softbihu 雪币： 216 活跃值： (299) 能力值： ( LV8，RANK：130 ) 在线值：发帖 7 回帖 103 粉丝 1 关注私信	softbihu 3 5 楼测试了下，好象跑飞了，哈哈 2007-8-14 18:16 0
cyclotron 雪币： 392 活跃值： (909) 能力值： ( LV9，RANK：690 ) 在线值：发帖 43 回帖 800 粉丝 9 关注私信	cyclotron 17 6 楼膜拜一下，回头测试～ 2007-8-14 20:23 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 7 楼辛苦置顶几日 2007-8-14 20:40 0
shs 雪币： 200 活跃值： (168) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 97 粉丝 1 关注私信	shs 8 楼牛哥就是厉害啊！！！ 2007-8-14 20:44 0
whg3249 雪币： 210 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 142 粉丝 0 关注私信	whg3249 9 楼下来测试看看 2007-8-15 08:41 0
邪秀才雪币： 250 活跃值： (11) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 311 粉丝 0 关注私信	邪秀才 2 10 楼收藏之,绝不放过任何好东东 2007-8-15 09:28 0
笨l笨雪币： 224 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 99 粉丝 0 关注私信	笨l笨 11 楼为什么运行不了啊！！！ 2007-8-15 09:40 0
qifengln 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	qifengln 12 楼好东西，不知道1.9.3.0的脚本在那里能下载 2007-8-15 12:47 0
qyc 雪币： 707 活跃值： (1301) 能力值： ( LV9，RANK：190 ) 在线值：发帖 28 回帖 550 粉丝 27 关注私信	qyc 4 13 楼现在沙发越来越不好抢了! XP SP2 脚本测试通过 2007-8-15 13:52 0
lzhen 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 91 粉丝 0 关注私信	lzhen 14 楼求助为什么我运行这个脚本的时候就出现错误行号 12 TEXT:job odbgver 这是怎么回事啊谁帮帮我 2007-8-15 18:43 0
maikkk 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 32 粉丝 0 关注私信	maikkk 15 楼运行脚本插件的版本应该是 1.52 2007-8-19 15:20 0
Leaders 雪币： 258 活跃值： (95) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 55 粉丝 1 关注私信	Leaders 16 楼好象有新版的出来了哦！ 2007-8-19 18:07 0
笨虫虫雪币： 226 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 73 粉丝 0 关注私信	笨虫虫 17 楼呵呵，谢谢楼主，小弟一直在找这个。 2007-8-20 01:37 0
hdfwdjz 雪币： 205 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 15 粉丝 0 关注私信	hdfwdjz 18 楼下了个谢谢了啊 2007-8-20 16:49 0
pazar 雪币： 198 能力值： (RANK：10 ) 在线值：发帖 5 回帖 23 粉丝 0 关注私信	pazar 19 楼 Error : Find debuger 2007-8-22 08:03 0
sunsjw 雪币： 8894 活跃值： (5423) 能力值： ( LV4，RANK：50 ) 在线值：发帖 47 回帖 1256 粉丝 16 关注私信	sunsjw 1 20 楼最新版本也发出来吧。在unpack上权限不够。。。。 2007-8-22 21:59 0
lustylol 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 106 粉丝 0 关注私信	lustylol 21 楼刚学脱tmd，试了好几个19的，跑没有问题，好东西啊，争取这周搞懂 2007-8-26 21:16 0
feiproxy 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 130 粉丝 0 关注私信	feiproxy 22 楼 job odbgver 不太明白 2007-8-26 23:56 0
aiyu 雪币： 199 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	aiyu 23 楼厉害,学习一下 2007-8-27 13:44 0
asiaflyhaw 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 21 粉丝 0 关注私信	asiaflyhaw 24 楼如此辛苦，先顶一下。再测试。是否成功。 2007-8-27 14:27 0
sunson 雪币： 271 活跃值： (196) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 206 粉丝 0 关注私信	sunson 25 楼提示: 可能是旧版本不知道是什么意思？ 2007-8-31 00:21 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

fxyang

发帖

267

回帖

810

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (63) 1 2 3 ▶
无奈无赖雪币： 117 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 728 粉丝 2 关注私信	无奈无赖 2 楼沙发先下来收藏了。 2007-8-14 17:10 0
bwin 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 183 粉丝 0 关注私信	bwin 3 楼 ou 是来学习的顶and学习 2007-8-14 17:39 0
tzl 雪币： 259 活跃值： (1704) 能力值： ( LV9，RANK：410 ) 在线值：发帖 21 回帖 532 粉丝 0 关注私信	tzl 10 4 楼测试一下,谢谢! 2007-8-14 18:15 0
softbihu 雪币： 216 活跃值： (299) 能力值： ( LV8，RANK：130 ) 在线值：发帖 7 回帖 103 粉丝 1 关注私信	softbihu 3 5 楼测试了下，好象跑飞了，哈哈 2007-8-14 18:16 0
cyclotron 雪币： 392 活跃值： (909) 能力值： ( LV9，RANK：690 ) 在线值：发帖 43 回帖 800 粉丝 9 关注私信	cyclotron 17 6 楼膜拜一下，回头测试～ 2007-8-14 20:23 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 7 楼辛苦置顶几日 2007-8-14 20:40 0
shs 雪币： 200 活跃值： (168) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 97 粉丝 1 关注私信	shs 8 楼牛哥就是厉害啊！！！ 2007-8-14 20:44 0
whg3249 雪币： 210 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 142 粉丝 0 关注私信	whg3249 9 楼下来测试看看 2007-8-15 08:41 0
邪秀才雪币： 250 活跃值： (11) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 311 粉丝 0 关注私信	邪秀才 2 10 楼收藏之,绝不放过任何好东东 2007-8-15 09:28 0
笨l笨雪币： 224 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 99 粉丝 0 关注私信	笨l笨 11 楼为什么运行不了啊！！！ 2007-8-15 09:40 0
qifengln 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	qifengln 12 楼好东西，不知道1.9.3.0的脚本在那里能下载 2007-8-15 12:47 0
qyc 雪币： 707 活跃值： (1301) 能力值： ( LV9，RANK：190 ) 在线值：发帖 28 回帖 550 粉丝 27 关注私信	qyc 4 13 楼现在沙发越来越不好抢了! XP SP2 脚本测试通过 2007-8-15 13:52 0
lzhen 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 91 粉丝 0 关注私信	lzhen 14 楼求助为什么我运行这个脚本的时候就出现错误行号 12 TEXT:job odbgver 这是怎么回事啊谁帮帮我 2007-8-15 18:43 0
maikkk 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 32 粉丝 0 关注私信	maikkk 15 楼运行脚本插件的版本应该是 1.52 2007-8-19 15:20 0
Leaders 雪币： 258 活跃值： (95) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 55 粉丝 1 关注私信	Leaders 16 楼好象有新版的出来了哦！ 2007-8-19 18:07 0
笨虫虫雪币： 226 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 73 粉丝 0 关注私信	笨虫虫 17 楼呵呵，谢谢楼主，小弟一直在找这个。 2007-8-20 01:37 0
hdfwdjz 雪币： 205 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 15 粉丝 0 关注私信	hdfwdjz 18 楼下了个谢谢了啊 2007-8-20 16:49 0
pazar 雪币： 198 能力值： (RANK：10 ) 在线值：发帖 5 回帖 23 粉丝 0 关注私信	pazar 19 楼 Error : Find debuger 2007-8-22 08:03 0
sunsjw 雪币： 8894 活跃值： (5423) 能力值： ( LV4，RANK：50 ) 在线值：发帖 47 回帖 1256 粉丝 16 关注私信	sunsjw 1 20 楼最新版本也发出来吧。在unpack上权限不够。。。。 2007-8-22 21:59 0
lustylol 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 106 粉丝 0 关注私信	lustylol 21 楼刚学脱tmd，试了好几个19的，跑没有问题，好东西啊，争取这周搞懂 2007-8-26 21:16 0
feiproxy 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 130 粉丝 0 关注私信	feiproxy 22 楼 job odbgver 不太明白 2007-8-26 23:56 0
aiyu 雪币： 199 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	aiyu 23 楼厉害,学习一下 2007-8-27 13:44 0
asiaflyhaw 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 21 粉丝 0 关注私信	asiaflyhaw 24 楼如此辛苦，先顶一下。再测试。是否成功。 2007-8-27 14:27 0
sunson 雪币： 271 活跃值： (196) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 206 粉丝 0 关注私信	sunson 25 楼提示: 可能是旧版本不知道是什么意思？ 2007-8-31 00:21 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复