程序名称:B03-2强化辅助
程序加壳:Themida|WinLicense V1.8.2.0 -> Oreans Technologies [Overlay] *
使用工具:PEiD、OllyICE、ImpREC、LordPE
使用脚本:Themida & WinLicen 1.1.X - 1.8.X 系列脱壳脚本
脱壳过程:
1、PEiD查壳为Themida|WinLicense V1.8.2.0 -> Oreans Technologies [Overlay] *
2、OllyICE加载程序,HIDEOD隐藏OD
3、加载Themida & WinLicen 1.1.X - 1.8.X 系列脱壳脚本;脚本运行结束提示“脚本执行完毕!请注意OEP是否被偷代码!”
4、脚本执行完毕后停在如下位置:(个人感觉典型VC++程序入口)
00018712 55 push ebp
00018713 8BEC mov ebp, esp
00018715 6A FF push -1
00018717 68 083C4600 push 463C08
0001871C 68 76884100 push 418876 jmp 到 msvcrt._except_handler3
5、ImpREC无无效函数
6、OllyDump出程序
7、OllyICE加载Dump出的程序,F9运行提示如下错误:
不知如何继续,因为内存地址02B3E78E不可读。请尝试更改EIP或忽略程序异常
8、运行代码如下:(红色为错误运行行)
00418712 >/$ 55 push ebp
00418713 |. 8BEC mov ebp, esp
00418715 |. 6A FF push -1
00418717 |. 68 083C4600 push 00463C08
0041871C |. 68 76884100 push 00418876 ; jmp 到 msvcrt._except_handler3; SE 处理程序安装
00418721 |. 64:A1 0000000>mov eax, dword ptr fs:[0]
00418727 |. 50 push eax
00418728 |. 64:8925 00000>mov dword ptr fs:[0], esp
0041872F |. 83EC 68 sub esp, 68
00418732 |. 53 push ebx
00418733 |. 56 push esi
00418734 |. 57 push edi
00418735 |. 8965 E8 mov dword ptr [ebp-18], esp
00418738 |. 33DB xor ebx, ebx
0041873A |. 895D FC mov dword ptr [ebp-4], ebx
0041873D |. 6A 02 push 2
0041873F |. FF15 181B4600 call dword ptr [461B18] ; msvcrt.__set_app_type
00418745 |. 59 pop ecx
00418746 |. 830D 0CA04700>or dword ptr [47A00C], FFFFFFFF
0041874D |. 830D 10A04700>or dword ptr [47A010], FFFFFFFF
00418754 |. FF15 141B4600 call dword ptr [461B14] ; msvcrt.__p__fmode
0041875A |. 8B0D 2C9C4700 mov ecx, dword ptr [479C2C]
00418760 |. 8908 mov dword ptr [eax], ecx
00418762 |. FF15 101B4600 call dword ptr [461B10] ; msvcrt.__p__commode
00418768 |. 8B0D 289C4700 mov ecx, dword ptr [479C28]
0041876E |. 8908 mov dword ptr [eax], ecx
00418770 |. A1 0C1B4600 mov eax, dword ptr [461B0C]
00418775 |. 8B00 mov eax, dword ptr [eax]
00418777 |. A3 08A04700 mov dword ptr [47A008], eax
0041877C |. E8 28010000 call 004188A9
00418781 |. 391D D86B4700 cmp dword ptr [476BD8], ebx
00418787 |. 75 0C jnz short 00418795
00418789 |. 68 A6884100 push 004188A6
0041878E |. FF15 081B4600 call dword ptr [461B08] ; msvcrt.__setusermatherr
00418794 |. 59 pop ecx
00418795 |> E8 FA000000 call 00418894
0041879A |. 68 9C604700 push 0047609C
0041879F |. 68 98604700 push 00476098
004187A4 |. E8 E5000000 call 0041888E ; jmp 到 msvcrt._initterm
各位大大帮忙弄一下,搞不明白了,感觉应该是为偷码,不会补了这个~!
告诉我应该怎么弄,或者帮我脱一下~!
谢谢~!
原程序地址:http://www.tgaqfz.net/b03-2.rar
我的QQ:752006299
[课程]FART 脱壳王!加量不加价!FART作者讲授!