检查TMD新版版本的脚本~-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

检查TMD新版版本的脚本~

发表于: 2008-1-18 16:33 16381

检查TMD新版版本的脚本~

theOcrat

2008-1-18 16:33

16381

很明显, TMD开始针对网上的脱壳脚本进行更新了
放出来个小脚本大家玩玩, 给会跑脚本的玩的

////////////////////////////////////////////////
/// TMDCheckVer v0.1                         ///
/// 检查tmd版本, 用于1.9.1.x - 1.9.7.0       ///
/// By the0crat                              ///
/// the0crat.cn@gmail.com                    ///
/// 2008/01/18                               ///
////////////////////////////////////////////////

data:
var cbase
var csize
var dllimg
var dllsize
var mem
var getprocadd
var gatprocadd_2
var tmp
var temp

cmp $VERSION, "1.52"
jb odbgver

bphwcall
bpmc
gmi eip,CODEBASE
mov cbase,$RESULT
gmi eip,CODESIZE
mov csize,$RESULT
gmemi eip,MEMORYBASE      //壳段的基地址
mov dllimg,$RESULT
log dllimg
gmemi eip,MEMORYSIZE      //壳段的长度
mov dllsize,$RESULT
log dllsize

findapibase:
gpa "GetProcAddress", "kernel32.dll"
mov getprocadd,$RESULT                   //取GetProcAddress函数地址，用于定位加密表
cmp getprocadd,0
gpa "_lclose","kernel32.dll"             //同上  
mov getprocadd_2,$RESULT
gpa "GetLocalTime", "kernel32.dll"       //下面代码取自okdodo 感谢 okdodo
mov tmpbp,$RESULT
cmp tmpbp,0
je stop
bphws tmpbp ,"x"
esto
bphwc tmpbp
rtu
gpa "VirtualAlloc", "kernel32.dll"
mov tmpbp,$RESULT
cmp tmpbp,0
je stop
bphws tmpbp ,"x"
esto
bphwc tmpbp
rtu
mov apibase,eax
log apibase
gpa "LoadLibraryA", "kernel32.dll"
mov tmpbp,$RESULT
cmp tmpbp,0
je stop
bphws tmpbp ,"x"
esto


bphwc tmpbp
rtu
findVirtualAlloc:
find apibase,#558BECFF7514FF7510FF750CFF75086AFFE8090000005DC21000#     //查找被虚拟的VirtualAlloc函数
mov tmpbp,$RESULT
cmp tmpbp,0
je win2003
bphws tmpbp ,"x"
jmp tmploop

win2003:
find apibase,#558BECFF7514FF7510FF750CFF75086AFFE878FFFFFF5DC21000#
mov tmpbp,$RESULT
cmp tmpbp,0
je stop
bphws tmpbp ,"x"


tmploop: 
                               //下面代码重新改写
esto 
cmp eax,getprocadd                       //定位加密表出现时机
je iatbegin
cmp eax,getprocadd_2
je iatbegin
jne tmploop

iatbegin:
esto
esto

bphwcall
rtr
sti
sti
find eip, #8BB5#
mov tmpbp,$RESULT
cmp tmpbp,0
jne next1
find eip, #8BB5??????06#
mov tmpbp,$RESULT
cmp tmpbp,0
je findnext_1
next1:
bphws tmpbp ,"x"
esto

sti
var iatcalltop      //加密表的首地址
var iatcallend
mov iatcalltop,esi
find iatcalltop,#00000000#
mov iatcallend,$RESULT
log iatcallend
var iatfn
var iattop
var codeadd
var antiadd
bphwcall
jmp codebegin

findnext_1:
sti
find dllimg, #FFFFFFFFDDDDDDDD#
mov tmpbp,$RESULT
cmp tmpbp,0
je notlb

var iatcalltop      //加密表的首地址
var iatcallend
mov iatcalltop,$RESULT
sub iatcalltop,10
log iatcalltop
find iatcalltop,#00000000#
mov iatcallend,$RESULT
log iatcallend
var iatfn
var iattop
var codeadd
var antiadd
mov tmp,eax
mov eax,iatcalltop
mov eax,[eax]
shr eax,10
cmp ax,0
jne iatbegin_2
add iatcalltop,04
iatbegin_2:
mov eax,tmp

codebegin:

//all the code until here is ripped from the script by fxyang

//check version~

var temp11
find eip,#83F9000F84#
mov temp11, $RESULT
sub temp11, eip
cmp temp11, 2000
ja farerror

xor temp11, temp11
find eip,#4B0F84#
mov temp11, $RESULT
cmp temp11, 0
je v_old
xor temp11, temp11
find eip, #74??8B8D????????8B093B8D????????74??3B8D????????74??3B8D????????75??#
mov temp11, $RESULT
cmp temp11, 0
je v_1950

v_1970:
msg "1970"
ret

v_old:
msg "1910-1930"
ret

v_1950:
msg "1950"
ret

farerror:
msg "可能是大于1970的版本了~请搜索此脚本的新版本"
ret

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

TMDCheckVer.txt （3.36kb，572次下载）

收藏・5

免费・7

支持

最新回复 (28) 1 2 ▶
海风月影雪币： 7309 活跃值： (3778) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 2 楼不错，期待完善修复IAT+跑OEP部分 2008-1-18 16:43 0
kanxue 雪币： 44229 活跃值： (19955) 能力值： (RANK：350 ) 在线值：发帖 2369 回帖 17027 粉丝 528 关注私信	kanxue 8 3 楼 the0crat 对thmedia很有研究，感谢分享 2008-1-18 17:40 0
fxyang 雪币： 2199 活跃值： (1975) 能力值： ( LV12，RANK：810 ) 在线值：发帖 27 回帖 267 粉丝 73 关注私信	fxyang 20 4 楼这个脚本肯定跑不了1.97的，因为1.97改变了很多东西。 2008-1-18 17:54 0
theOcrat 雪币： 66 活跃值： (15) 能力值： ( LV9，RANK：330 ) 在线值：发帖 27 回帖 228 粉丝 2 关注私信	theOcrat 8 5 楼 have a try :) 2008-1-18 18:10 0
theOcrat 雪币： 66 活跃值： (15) 能力值： ( LV9，RANK：330 ) 在线值：发帖 27 回帖 228 粉丝 2 关注私信	theOcrat 8 6 楼顺便问一下, 网上现在放出来的tmd的程序文件最新是什么版本的, 这个google搜不到. 我想了解一下正版和大家都能下载的那种版之间一般相差多少个版本号 2008-1-18 18:16 0
海风月影雪币： 7309 活跃值： (3778) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 7 楼正式版放出来有Key的是1910 正式版最新版应该是1970 2008-1-18 18:32 0
theOcrat 雪币： 66 活跃值： (15) 能力值： ( LV9，RANK：330 ) 在线值：发帖 27 回帖 228 粉丝 2 关注私信	theOcrat 8 8 楼网上是故意保持和正版间有3个版本的距离吗? 2008-1-18 18:37 0
海风月影雪币： 7309 活跃值： (3778) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 9 楼中间还有1920，1930，1940，1960 4个版本呢 2008-1-18 19:18 0
theOcrat 雪币： 66 活跃值： (15) 能力值： ( LV9，RANK：330 ) 在线值：发帖 27 回帖 228 粉丝 2 关注私信	theOcrat 8 10 楼 -_-;; 双数的都没见过~ 那为什么网上只发布到1910呢? 是潜规则吗?~~~~~ 2008-1-18 19:47 0
海风月影雪币： 7309 活跃值： (3778) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 11 楼我也就看主页更新过DEMO版正式版放出来绝大部分人用不了，放key出来立刻被ban 2008-1-18 20:00 0
海风月影雪币： 7309 活跃值： (3778) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 12 楼这个就是themida作者告诉大家，有脚本不要放出来 2008-1-18 20:01 0
夜凉如水雪币： 136 活跃值： (105) 能力值： ( LV9，RANK：140 ) 在线值：发帖 18 回帖 719 粉丝 1 关注私信	夜凉如水 3 13 楼 haha 针对脚本更新的作者走不了多远了哈哈 2008-1-18 20:44 0
theOcrat 雪币： 66 活跃值： (15) 能力值： ( LV9，RANK：330 ) 在线值：发帖 27 回帖 228 粉丝 2 关注私信	theOcrat 8 14 楼有vm的年代这才是光明大道 2008-1-18 20:48 0
geophylika 雪币： 318 活跃值： (153) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 358 粉丝 1 关注私信	geophylika 15 楼拿来试试看,刚才好有新的程序,WINLICENSE保护的! 显示的结果是: 可能是大于1970的版本了~请搜索此脚本的新版本 2008-1-19 20:22 0
theOcrat 雪币： 66 活跃值： (15) 能力值： ( LV9，RANK：330 ) 在线值：发帖 27 回帖 228 粉丝 2 关注私信	theOcrat 8 16 楼这个脚本只用于1910-1930/1950/1970, 其他版本没有测试过出现你说的这个提示要不就是老版本, 要不就是你的od跑不起来程序 2008-1-19 21:31 0
reboot 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 43 粉丝 0 关注私信	reboot 17 楼 winlicense 1.9.8.0 要怎么改？ 2008-4-11 17:12 0
shinetou 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 30 粉丝 0 关注私信	shinetou 18 楼谢谢，收藏一下，以备不时之需 2008-4-12 16:28 0
nbgj 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 22 粉丝 0 关注私信	nbgj 19 楼强,很强,太强了. 2008-4-16 13:34 0
无聊之际雪币： 200 活跃值： (19) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 13 粉丝 0 关注私信	无聊之际 20 楼不错咯小脚本呀呵呵感谢楼主分享挺实用的下载了 2008-4-17 23:35 0
gengzelei 雪币： 180 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	gengzelei 21 楼跑飞了，晕了 2008-4-25 01:55 0
xyu 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 71 粉丝 0 关注私信	xyu 22 楼跑了一遍这个地方（je stop）出来个提示 win2003: find apibase,#558BECFF7514FF7510FF750CFF75086AFFE878FFFFFF5DC21000# mov tmpbp,$RESULT cmp tmpbp,0 je stop bphws tmpbp ,"x" 2008-5-24 20:26 0
方三雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 13 粉丝 0 关注私信	方三 23 楼很强,太强了.收藏一下， 2008-5-24 22:05 0
znztv 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	znztv 24 楼谢谢了,检测版本,方便脱壳定位! 2008-6-7 16:34 0
guyuelang 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 33 粉丝 0 关注私信	guyuelang 25 楼我脱的一个程序试了下出1970 晕死睡有1970的脚本看看啊 2008-6-24 18:25 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

theOcrat

发帖

228

回帖

330

RANK

关注

私信

他的文章

tmd的一个无聊的anti-1910script 7060

关于我们

联系我们

企业服务

看雪公众号

最新回复 (28) 1 2 ▶
海风月影雪币： 7309 活跃值： (3778) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 2 楼不错，期待完善修复IAT+跑OEP部分 2008-1-18 16:43 0
kanxue 雪币： 44229 活跃值： (19955) 能力值： (RANK：350 ) 在线值：发帖 2369 回帖 17027 粉丝 528 关注私信	kanxue 8 3 楼 the0crat 对thmedia很有研究，感谢分享 2008-1-18 17:40 0
fxyang 雪币： 2199 活跃值： (1975) 能力值： ( LV12，RANK：810 ) 在线值：发帖 27 回帖 267 粉丝 73 关注私信	fxyang 20 4 楼这个脚本肯定跑不了1.97的，因为1.97改变了很多东西。 2008-1-18 17:54 0
theOcrat 雪币： 66 活跃值： (15) 能力值： ( LV9，RANK：330 ) 在线值：发帖 27 回帖 228 粉丝 2 关注私信	theOcrat 8 5 楼 have a try :) 2008-1-18 18:10 0
theOcrat 雪币： 66 活跃值： (15) 能力值： ( LV9，RANK：330 ) 在线值：发帖 27 回帖 228 粉丝 2 关注私信	theOcrat 8 6 楼顺便问一下, 网上现在放出来的tmd的程序文件最新是什么版本的, 这个google搜不到. 我想了解一下正版和大家都能下载的那种版之间一般相差多少个版本号 2008-1-18 18:16 0
海风月影雪币： 7309 活跃值： (3778) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 7 楼正式版放出来有Key的是1910 正式版最新版应该是1970 2008-1-18 18:32 0
theOcrat 雪币： 66 活跃值： (15) 能力值： ( LV9，RANK：330 ) 在线值：发帖 27 回帖 228 粉丝 2 关注私信	theOcrat 8 8 楼网上是故意保持和正版间有3个版本的距离吗? 2008-1-18 18:37 0
海风月影雪币： 7309 活跃值： (3778) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 9 楼中间还有1920，1930，1940，1960 4个版本呢 2008-1-18 19:18 0
theOcrat 雪币： 66 活跃值： (15) 能力值： ( LV9，RANK：330 ) 在线值：发帖 27 回帖 228 粉丝 2 关注私信	theOcrat 8 10 楼 -_-;; 双数的都没见过~ 那为什么网上只发布到1910呢? 是潜规则吗?~~~~~ 2008-1-18 19:47 0
海风月影雪币： 7309 活跃值： (3778) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 11 楼我也就看主页更新过DEMO版正式版放出来绝大部分人用不了，放key出来立刻被ban 2008-1-18 20:00 0
海风月影雪币： 7309 活跃值： (3778) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 12 楼这个就是themida作者告诉大家，有脚本不要放出来 2008-1-18 20:01 0
夜凉如水雪币： 136 活跃值： (105) 能力值： ( LV9，RANK：140 ) 在线值：发帖 18 回帖 719 粉丝 1 关注私信	夜凉如水 3 13 楼 haha 针对脚本更新的作者走不了多远了哈哈 2008-1-18 20:44 0
theOcrat 雪币： 66 活跃值： (15) 能力值： ( LV9，RANK：330 ) 在线值：发帖 27 回帖 228 粉丝 2 关注私信	theOcrat 8 14 楼有vm的年代这才是光明大道 2008-1-18 20:48 0
geophylika 雪币： 318 活跃值： (153) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 358 粉丝 1 关注私信	geophylika 15 楼拿来试试看,刚才好有新的程序,WINLICENSE保护的! 显示的结果是: 可能是大于1970的版本了~请搜索此脚本的新版本 2008-1-19 20:22 0
theOcrat 雪币： 66 活跃值： (15) 能力值： ( LV9，RANK：330 ) 在线值：发帖 27 回帖 228 粉丝 2 关注私信	theOcrat 8 16 楼这个脚本只用于1910-1930/1950/1970, 其他版本没有测试过出现你说的这个提示要不就是老版本, 要不就是你的od跑不起来程序 2008-1-19 21:31 0
reboot 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 43 粉丝 0 关注私信	reboot 17 楼 winlicense 1.9.8.0 要怎么改？ 2008-4-11 17:12 0
shinetou 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 30 粉丝 0 关注私信	shinetou 18 楼谢谢，收藏一下，以备不时之需 2008-4-12 16:28 0
nbgj 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 22 粉丝 0 关注私信	nbgj 19 楼强,很强,太强了. 2008-4-16 13:34 0
无聊之际雪币： 200 活跃值： (19) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 13 粉丝 0 关注私信	无聊之际 20 楼不错咯小脚本呀呵呵感谢楼主分享挺实用的下载了 2008-4-17 23:35 0
gengzelei 雪币： 180 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	gengzelei 21 楼跑飞了，晕了 2008-4-25 01:55 0
xyu 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 71 粉丝 0 关注私信	xyu 22 楼跑了一遍这个地方（je stop）出来个提示 win2003: find apibase,#558BECFF7514FF7510FF750CFF75086AFFE878FFFFFF5DC21000# mov tmpbp,$RESULT cmp tmpbp,0 je stop bphws tmpbp ,"x" 2008-5-24 20:26 0
方三雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 13 粉丝 0 关注私信	方三 23 楼很强,太强了.收藏一下， 2008-5-24 22:05 0
znztv 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	znztv 24 楼谢谢了,检测版本,方便脱壳定位! 2008-6-7 16:34 0
guyuelang 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 33 粉丝 0 关注私信	guyuelang 25 楼我脱的一个程序试了下出1970 晕死睡有1970的脚本看看啊 2008-6-24 18:25 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复