[原创]Themida.V1.9.1.0 手脱XP记事本笔记-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[原创]Themida.V1.9.1.0 手脱XP记事本笔记

发表于: 2008-1-8 20:23 12163

[原创]Themida.V1.9.1.0 手脱XP记事本笔记

笨虫虫

2008-1-8 20:23

12163

【文章标题】: Themida.V1.9.1.0 手脱XP记事本笔记
【文章作者】: 笨虫虫
【作者邮箱】: [email=dm_bcc@hotmail.com]dm_bcc@hotmail.com[/email]
【软件名称】: NOTEPAD.exe
【加壳方式】: Themida.V1.9.1.0
【保护方式】: 代码变形 iat加密 oep偷取
【编写语言】: Microsoft Visual C++ 7.0 Method2 [Debug]
【使用工具】: OllyICE(Hideod 0.17) LordPE ImportREC
【操作平台】: 盗版XP SP2
【作者声明】: Themida手脱教程太少,写来玩玩。失误之处敬请诸位大侠赐教!
【详细过程】:
1.首先查壳：Themida/WinLicense V1.8.X.X+-V1.9.X.X -> Oreans Technologies * Sign.By.dm_bcc *
好了，OD 载入，忽略所有异常，用Hideod 插件隐藏OD！

01014014 > B8 00000000 mov eax,0 -> Themida/WinLicense V1.8.X.X+-V1.9.X.X 入口
01014019 60 pushad
0101401A 0BC0 or eax,eax
0101401C 74 68 je short NOTEPAD.01014086
0101401E E8 00000000 call NOTEPAD.01014023
01014023 58 pop eax
01014024 05 53000000 add eax,53
01014029 8038 E9 cmp byte ptr ds:[eax],0E9
0101402C 75 13 jnz short NOTEPAD.01014041
0101402E 61 popad
0101402F EB 45 jmp short NOTEPAD.01014076
01014031 DB2D 37400101 fld tbyte ptr ds:[1014037]

01119D6B F3:A4 rep movs byte ptr es:[edi],byte ptr ds:[esi]->在这里我们用F7+F8运行程序
01119D6D C685 45217409 56 mov byte ptr ss:[ebp+9742145],56
01119D74 68 396D1FD4 push D41F6D39
01119D79 FFB5 DD257409 push dword ptr ss:[ebp+97425DD]
01119D7F 8D85 A1C67709 lea eax,dword ptr ss:[ebp+977C6A1]

011287F5 8913 mov dword ptr ds:[ebx],edx ; comdlg32.PageSetupDlgW ->停到这里
011287F7 5B pop ebx
011287F8 5A pop edx
011287F9 F9 stc
011287FA AD lods dword ptr ds:[esi]
011287FB 60 pushad
011287FC 60 pushad
011287FD 0FB7FB movzx edi,bx
01128800 81D1 96A16064 adc ecx,6460A196
01128806 61 popad
01128807 66:B9 3E29 mov cx,293E
0112880B 61 popad

01128A90 803F 90 cmp byte ptr ds:[edi],90 ; 比较要写的CALL地址数据是不是NOP
01128A93 0F84 2B000000 je NOTEPAD.01128AC4
01128A99 F5 cmc
01128A9A 50 push eax
01128A9B B8 05000000 mov eax,5
01128AA0 01C7 add edi,eax
01128AA2 8B0424 mov eax,dword ptr ss:[esp]
01128AA5 83C4 04 add esp,4
01128AA8 FC cld
01128AA9 E9 E5010000 jmp NOTEPAD.01128C93
01128AAE FC cld
01128AAF E9 10000000 jmp NOTEPAD.01128AC4
01128AB4 D6 salc
01128AB5 81C2 4EA6589A add edx,9A58A64E

01006428 833D ACA40001 00 cmp dword ptr ds:[100A4AC],0
0100642F 75 40 jnz short NOTEPAD.01006471
01006431 800D B1A40001 04 or byte ptr ds:[100A4B1],4
01006438 68 A0A40001 push NOTEPAD.0100A4A0
0100643D 90 nop
0100643E 90 nop
0100643F 90 nop
01006440 90 nop
01006441 90 nop
01006442 90 nop

原版
01006428 /$ 833D ACA40001 00 cmp dword ptr ds:[100A4AC],0
0100642F |. 75 40 jnz short NOTEPAD?01006471
01006431 |. 800D B1A40001 04 or byte ptr ds:[100A4B1],4
01006438 |. 68 A0A40001 push NOTEPAD?0100A4A0
0100643D |. FF15 C4120001 call dword ptr ds:[<&comdlg32.PageSetupDlgW>] ; comdlg32.PageSetupDlgW

01128B77 AA stos byte ptr es:[edi] ; 把E8也就是CALL放入程序地址
01128B78 60 pushad
01128B79 BE 37D29C76 mov esi,769CD237
01128B7E 0F81 02000000 jno NOTEPAD.01128B86
01128B84 8BF1 mov esi,ecx
01128B86 61 popad
01128B87 E9 11000000 jmp NOTEPAD.01128B9D

01128C8D AB stos dword ptr es:[edi] ; 把API的地址写入到程序中
01128C8E 60 pushad
01128C8F 0FB7C0 movzx eax,ax
01128C92 61 popad
01128C93 AD lods dword ptr ds:[esi]
01128C94 60 pushad
01128C95 0F83 06000000 jnb NOTEPAD.01128CA1
01128C9B 0F84 00000000 je NOTEPAD.01128CA1

01125CD3 FC cld
01125CD4 FF85 2D327409 inc dword ptr ss:[ebp+974322D]
01125CDA 60 pushad
01125CDB 52 push edx
01125CDC E8 0F000000 call NOTEPAD.01125CF0;
01125CE1 43 inc ebx
01125CE2 D222 shl byte ptr ds:[edx],cl
01125CE4 3F aas
01125CE5 0C B7 or al,0B7

0112647F 89E6 mov esi,esp
01126481 81C6 04000000 add esi,4
01126487 83C6 04 add esi,4
0112648A 873424 xchg dword ptr ss:[esp],esi
0112648D 5C pop esp
0112648E 60 pushad
0112648F E8 11000000 call NOTEPAD.011264A5 ->杀进
01126494 CE into
01126495 AF scas dword ptr es:[edi]
01126496 CF iretd

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

NOTEPAD.rar （535.61kb，255次下载）

收藏・5

免费・7

支持

最新回复 (20)
liuyusong 雪币： 113 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 176 粉丝 0 关注私信	liuyusong 2 楼沙发！哈！研究研究 2008-1-8 20:38 0
霡霂雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	霡霂 3 楼研究研究…… 2008-1-8 21:11 0
myvc 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 85 粉丝 0 关注私信	myvc 4 楼标记下学习，感谢！ 2008-1-8 21:50 0
阿杰爱你雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	阿杰爱你 5 楼真好直得研究研究 2008-1-8 23:53 0
阿扁鱼雪币： 88 活跃值： (115) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 222 粉丝 0 关注私信	阿扁鱼 6 楼楼主能提供记事本就好了…… 2008-1-9 11:45 0
笨虫虫雪币： 226 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 73 粉丝 0 关注私信	笨虫虫 7 楼记事本,已经放上。 2008-1-9 13:25 0
黑笑苍天雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 19 粉丝 0 关注私信	黑笑苍天 8 楼谢谢楼主,找了好久,手脱是最好的, 2008-1-9 13:47 0
黑笑苍天雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 19 粉丝 0 关注私信	黑笑苍天 9 楼晕了,我忽略了所有异常后,对代码段进行了设置内存断点,按shift+f9来到的不是楼主的地方呀 2008-1-9 13:53 0
hnzcyjszc 雪币： 191 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 95 粉丝 0 关注私信	hnzcyjszc 10 楼我也跟踪了一款程序,是1.9.2加的密,程序到了一句SYS???的时候,就跑了,我没有办法了,楼主帮助下啊,谢谢!! 2008-1-9 22:01 0
lOOp 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 260 粉丝 0 关注私信	lOOp 11 楼这个要学习。。。呵呵 2008-1-10 01:29 0
clide2000 雪币： 301 活跃值： (300) 能力值： ( LV9，RANK：290 ) 在线值：发帖 56 回帖 1209 粉丝 2 关注私信	clide2000 7 12 楼还没玩过tmd的壳，收藏一份学习之 2008-1-10 15:56 0
oegg007 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 13 粉丝 1 关注私信	oegg007 13 楼不错，学习一下。 2008-1-10 19:16 0
chaoda 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	chaoda 14 楼终于找到手脱的了！ 2008-1-10 19:47 0
为你钟情雪币： 239 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 63 粉丝 0 关注私信	为你钟情 15 楼请问一下楼主ZwFreeVirtualMemory函数断点，是怎么判断出来的啊。中间经过什么样的分析才能得出这样的结论。我想不通？ 2008-1-11 15:35 0
笨虫虫雪币： 226 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 73 粉丝 0 关注私信	笨虫虫 16 楼你自己用F7+F8自己慢慢调试运行看。什么东西都是要我帮你做出判断，你还来学什么 2008-1-18 11:05 0
wztyj 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	wztyj 17 楼学习学习～～～ 2008-1-18 11:42 0
zenzc 雪币： 112 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 102 粉丝 0 关注私信	zenzc 18 楼哇，写得真好，就是难了点，正好　学习学习 2008-1-20 15:42 0
fuweihua 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	fuweihua 19 楼楼主，为什么我到01119D6B F3:A4 rep movs byte ptr es:[edi],byte ptr ds:[esi]//F7＋F8　　　OD就提示运行？？有谁可以帮忙解释一下？？ 2008-1-20 22:22 0
newlove 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	newlove 20 楼文章很不错，就是LZ在忽悠大家-----01007568记得此地址，修复oep要用上修复OEP(1) 变成了OEP:739d 笔误，还是只是。。。。。。。。。。。。欢迎来个说法 2008-3-7 22:29 0
winting 雪币： 53 活跃值： (80) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 78 粉丝 0 关注私信	winting 21 楼谢谢提供怎么好的东西 2008-3-8 08:10 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

笨虫虫

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (20)
liuyusong 雪币： 113 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 176 粉丝 0 关注私信	liuyusong 2 楼沙发！哈！研究研究 2008-1-8 20:38 0
霡霂雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	霡霂 3 楼研究研究…… 2008-1-8 21:11 0
myvc 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 85 粉丝 0 关注私信	myvc 4 楼标记下学习，感谢！ 2008-1-8 21:50 0
阿杰爱你雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	阿杰爱你 5 楼真好直得研究研究 2008-1-8 23:53 0
阿扁鱼雪币： 88 活跃值： (115) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 222 粉丝 0 关注私信	阿扁鱼 6 楼楼主能提供记事本就好了…… 2008-1-9 11:45 0
笨虫虫雪币： 226 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 73 粉丝 0 关注私信	笨虫虫 7 楼记事本,已经放上。 2008-1-9 13:25 0
黑笑苍天雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 19 粉丝 0 关注私信	黑笑苍天 8 楼谢谢楼主,找了好久,手脱是最好的, 2008-1-9 13:47 0
黑笑苍天雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 19 粉丝 0 关注私信	黑笑苍天 9 楼晕了,我忽略了所有异常后,对代码段进行了设置内存断点,按shift+f9来到的不是楼主的地方呀 2008-1-9 13:53 0
hnzcyjszc 雪币： 191 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 95 粉丝 0 关注私信	hnzcyjszc 10 楼我也跟踪了一款程序,是1.9.2加的密,程序到了一句SYS???的时候,就跑了,我没有办法了,楼主帮助下啊,谢谢!! 2008-1-9 22:01 0
lOOp 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 260 粉丝 0 关注私信	lOOp 11 楼这个要学习。。。呵呵 2008-1-10 01:29 0
clide2000 雪币： 301 活跃值： (300) 能力值： ( LV9，RANK：290 ) 在线值：发帖 56 回帖 1209 粉丝 2 关注私信	clide2000 7 12 楼还没玩过tmd的壳，收藏一份学习之 2008-1-10 15:56 0
oegg007 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 13 粉丝 1 关注私信	oegg007 13 楼不错，学习一下。 2008-1-10 19:16 0
chaoda 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	chaoda 14 楼终于找到手脱的了！ 2008-1-10 19:47 0
为你钟情雪币： 239 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 63 粉丝 0 关注私信	为你钟情 15 楼请问一下楼主ZwFreeVirtualMemory函数断点，是怎么判断出来的啊。中间经过什么样的分析才能得出这样的结论。我想不通？ 2008-1-11 15:35 0
笨虫虫雪币： 226 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 73 粉丝 0 关注私信	笨虫虫 16 楼你自己用F7+F8自己慢慢调试运行看。什么东西都是要我帮你做出判断，你还来学什么 2008-1-18 11:05 0
wztyj 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	wztyj 17 楼学习学习～～～ 2008-1-18 11:42 0
zenzc 雪币： 112 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 102 粉丝 0 关注私信	zenzc 18 楼哇，写得真好，就是难了点，正好　学习学习 2008-1-20 15:42 0
fuweihua 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	fuweihua 19 楼楼主，为什么我到01119D6B F3:A4 rep movs byte ptr es:[edi],byte ptr ds:[esi]//F7＋F8　　　OD就提示运行？？有谁可以帮忙解释一下？？ 2008-1-20 22:22 0
newlove 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	newlove 20 楼文章很不错，就是LZ在忽悠大家-----01007568记得此地址，修复oep要用上修复OEP(1) 变成了OEP:739d 笔误，还是只是。。。。。。。。。。。。欢迎来个说法 2008-3-7 22:29 0
winting 雪币： 53 活跃值： (80) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 78 粉丝 0 关注私信	winting 21 楼谢谢提供怎么好的东西 2008-3-8 08:10 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复