[求助]Themida/WinLicense V1.8.2.0 + -> Oreans Technologies脱壳...-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] [求助]Themida/WinLicense V1.8.2.0 + -> Oreans Technologies脱壳... 0.00雪花

发表于: 2007-11-13 11:11 5882

[旧帖] [求助]Themida/WinLicense V1.8.2.0 + -> Oreans Technologies脱壳... 0.00雪花

takken4

活跃值

2007-11-13 11:11

5882

一款外挂，用OD载入后加载脚本TMDScript-1.9.1+_1.0final.txt后停在该处
00555AFB    /E9 30811100        jmp 0066DC30                          ; GE--ovo-.0066DC30
00555B00    |E9 BB810300        jmp 0058DCC0                          ; GE--ovo-.0058DCC0
00555B05    |E9 7CCD1900        jmp 006F2886                          ; GE--ovo-.006F2886
00555B0A    |E9 C11D1400        jmp 006978D0                          ; GE--ovo-.006978D0
00555B0F    |E9 1CEE1800        jmp 006E4930                          ; GE--ovo-.006E4930
00555B14    |E9 B78D0600        jmp 005BE8D0                          ; GE--ovo-.005BE8D0
00555B19    |E9 62022900        jmp 007E5D80                          ; GE--ovo-.007E5D80
00555B1E    |E9 FD772600        jmp 007BD320                          ; GE--ovo-.007BD320
提示OEP在8fd974，跳转到该处
008FD952     0000               add byte ptr ds:[eax],al
008FD954     0000               add byte ptr ds:[eax],al
008FD956     0000               add byte ptr ds:[eax],al
008FD958     0000               add byte ptr ds:[eax],al
008FD95A     0000               add byte ptr ds:[eax],al
008FD95C     0000               add byte ptr ds:[eax],al
008FD95E     0000               add byte ptr ds:[eax],al
008FD960     0000               add byte ptr ds:[eax],al
008FD962     0000               add byte ptr ds:[eax],al
008FD964     0000               add byte ptr ds:[eax],al
008FD966     0000               add byte ptr ds:[eax],al
008FD968     0000               add byte ptr ds:[eax],al
008FD96A     0000               add byte ptr ds:[eax],al
008FD96C     0000               add byte ptr ds:[eax],al
008FD96E     0000               add byte ptr ds:[eax],al
008FD970     0000               add byte ptr ds:[eax],al
008FD972     0000               add byte ptr ds:[eax],al
008FD974     64:BA 807C2DA4     mov edx,A42D7C80
008FD97A     857C66 E8          test dword ptr ds:[esi-18],edi
008FD97E     807C74 B9 80       cmp byte ptr ss:[esp+esi*2-47],80
008FD983     7C 05              jl short 008FD98A                     ; GE--ovo-.008FD98A
008FD985     B9 807C5C94        mov ecx,945C7C80
008FD98A     807C76 BB 80       cmp byte ptr ds:[esi+esi*2-45],80
008FD98F   ^ 7C D5              jl short 008FD966                     ; GE--ovo-.008FD966
008FD991     B3 80              mov bl,80
008FD993     7C 78              jl short 008FDA0D                     ; GE--ovo-.008FDA0D
008FD995     34 83              xor al,83
008FD997     7C 62              jl short 008FD9FB                     ; GE--ovo-.008FD9FB
008FD999     15 817C109F        adc eax,9F107C81
008FD99E     807CE1 7C 83       cmp byte ptr ds:[ecx+7C],83
008FD9A3   ^ 7C CB              jl short 008FD970                     ; GE--ovo-.008FD970
008FD9A5     1081 7C8BC481      adc byte ptr ds:[ecx+81C48B7C],al
008FD9AB   ^ 7C CF              jl short 008FD97C                     ; GE--ovo-.008FD97C
008FD9AD     BC 807C2099        mov esp,99207C80
008FD9B2     807C27 A4 80       cmp byte ptr ds:[edi-5C],80
008FD9B7   ^ 7C 97              jl short 008FD950                     ; GE--ovo-.008FD950
008FD9B9     CC                 int3
008FD9BA     807C08 2F 81       cmp byte ptr ds:[eax+ecx+2F],81
008FD9BF   ^ 7C E7              jl short 008FD9A8                     ; GE--ovo-.008FD9A8
008FD9C1     4A                 dec edx
008FD9C2     817C5B CF 817C77DF cmp dword ptr ds:[ebx+ebx*2-31],DF777>
008FD9CA     817C2A 2E 867C7D46 cmp dword ptr ds:[edx+ebp+2E],467D7C8>
008FD9D2     847CE4 9A          test byte ptr ss:[esp-66],bh
008FD9D6     807CB6 2B 81       cmp byte ptr ds:[esi+esi*4+2B],81
008FD9DB   ^ 7C F8              jl short 008FD9D5                     ; GE--ovo-.008FD9D5
008FD9DD     0E                 push cs
008FD9DE     817CA8 CC 807CE88D cmp dword ptr ds:[eax+ebp*4-34],8DE87>
008FD9E6     837CBF 50 83       cmp dword ptr ds:[edi+edi*4+50],-7D
008FD9EB   ^ 7C 90              jl short 008FD97D                     ; GE--ovo-.008FD97D
008FD9ED     A4                 movs byte ptr es:[edi],byte ptr ds:[e>
008FD9EE     807C0C 8A 83       cmp byte ptr ss:[esp+ecx-76],83
008FD9F3   ^ 7C 8B              jl short 008FD980                     ; GE--ovo-.008FD980
008FD9F5     B5 81              mov ch,81
008FD9F7   ^ 7C F8              jl short 008FD9F1                     ; GE--ovo-.008FD9F1
008FD9F9     0C 86              or al,86
008FD9FB     7C 51              jl short 008FDA4E                     ; GE--ovo-.008FDA4E

请问该处是否为OEP，该程序是用什么语言编写的，谢谢。。。。。

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

收藏・1

免费・0

支持

分享

最新回复 (4)
takken4 雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 24 粉丝 0 关注私信	takken4 2 楼文件已经上传到http://takken4.3adisk.com/ 文件名gedx1.rar 请帮忙看下，给下提示 2007-11-13 11:17 0
镍仔杭雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 36 粉丝 0 关注私信	镍仔杭 3 楼我也想知道这个壳 2008-1-3 12:21 0
banyueboy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 15 粉丝 0 关注私信	banyueboy 4 楼试验后我也找不出来。。 2008-1-3 13:00 0
hnzcyjszc 雪币： 191 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 95 粉丝 0 关注私信	hnzcyjszc 5 楼这里的高手都忙什么去了 2008-1-8 20:32 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

返回

takken4

发帖

回帖

RANK

他的文章

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

//