-
-
[求助]一个很有趣的新壳Themida/WinLicense V1.8.X-V1.9.X -> Oreans Technologies * Sign.By.fly
-
发表于: 2008-7-30 22:09
-
[求助]一个很有趣的新壳Themida/WinLicense V1.8.X-V1.9.X -> Oreans Technologies * Sign.By.fly
2008-7-30 22:09
Themida/WinLicense V1.8.X-V1.9.X -> Oreans Technologies * Sign.By.fly *
本人水平太菜了
今天碰到一个DLL的文件壳是(PEiD v0.94 数据库更新到2008.5.9)
Themida/WinLicense V1.8.X-V1.9.X -> Oreans Technologies * Sign.By.fly *
用了好几个脚本都自动退出了
TMDScript-1[1].9.1+_private_0.7
TMDScript-1.9.5.0_ver_0.2_by_CA
两个很不错的脚本都没脱出来
请教下这个该怎么脱这个是下载地址 感兴趣的大家研究下(连接更新了)这个是完整的文件....我的目标是脱掉DLL
http://www.namipan.com/d/dzhh.rar/bb3c578e9722f4c6bdf714ab70154d451148d234c33a3a00
今天好开心啊
有重大的突破...坛主也在指导帮助我 感到很荣幸
先说下进步
恩程序没有停在RENT这里而是停在JMP这里
在此之前有跳出7个框框 我估计是被里面的某种方式保护了
但是我看不太懂 我把所有的过程写一下
一开始我的脚本没找对
呵呵.笨笨...
在坛主大大的指导下..找到了对应的一个脚本
Themida&WinLicenScript_1.91+.txt
我把设置和弹出的窗口都截图发上来了
不太清楚
我再解释一下
1.PhantOm.dll插件的选项 除了一个是灰色不能打勾以外 全部选上
2.调试选项全部选上....忽略所有异常
3 .弹出的第一个框是问你程序可能是 B C++ 选择否回到一般程序模式恢复(BORLAND C++ 简化为 B C++ 以下同)我按否
4. 弹出"如果发现是 被VM 的 B C++程序 请选择否到 B C++修复模式." 我按否
5 接下来 跳出 一个提示是"脚本执行完成 IAT表修复完成 DUMP 位于你的目录中."
6 然后 是 "IAT 基地址在 87E104 "
7 然后是"无法读取被调试进程,(00400000,007A5FFF)的内存"
8 英文 框"DUMP BAD DOS SIGNATURE"
9 英文框 " ERROR ON LINE 1296
TEXT DPE dpe $RESULT, eip"
我仔细对照下在脚本的末尾几行是这样的
end:
msg "脚本执行完成,iat表修复完成!dump位于你的目录中!"
eval "IAT基地址在:{iatadd}"
msg $RESULT
cmp iatadd,10000000
ja dllcode
eval "{tmpdir}foepdump.exe"
dpe $RESULT, eip
ret
dllcode:
eval "{tmpdir}foepdump.dll"
dpe $RESULT, eip
ret
也就是说是在这里出错了
10 最后停在 了" JMP SHORT 0087109E"
真的很感谢坛主对我的指导.呵呵, 好开心.
不知道是什么问题 汗一个
一个新发现...只有DLL的时候 会出现注册的提示框 为了文件的完整
我换一个下载连接
http://www.namipan.com/d/dzhh.rar/bb3c578e9722f4c6bdf714ab70154d451148d234c33a3a00
看了一下N多帖子
http://bbs.pediy.com/showthread.php?t=46795
http://bbs.pediy.com/showthread.php?t=49358
这两位跟我碰到的问题一致
但是究竟是什么插件导致无法读取内存的原因?????????
终于被我找到了 呵呵
peid查壳 是Armadillo 3.78 - 4.xx -> Silicon Realms Toolworks
已经到找到OEP了。但脱壳的时候提示无法读取被调试进程的内存.
是不是有什么地方有问题.??请高手指点. 谢谢.
OD里,Alt+M,在被调试进程,各区块,右键,设置访问/所有访问
然后再用LordPE来Dump
勤奋就是好啊被我在追了2天一夜后 FIND A WAY OUT!!!
昨晚2点多睡 本来想完成的
但是卡在下面的几步
用最新的PETools把在OD中的DLL总算DUMP了...
接下来就是获取输入表了
有两个选择
一个是脚本提供的IAT基址但是这个不知道怎么才能找到OEP 和其他的参数
另外就是自动获取输入表了
但是一大堆函数无效
用PETools的修复功能修复了以后
程序出现运行错误
我正在思考错误的类型和原因
下面才是苦力活
早上6点起来到现在也没办法找到OEP和需要的参数..........
诶
找了下这方面的资料推荐给大家 DLL的修复 呵呵新书啊 呵呵....研究中....迷茫中 困惑中
http://bbs.pediy.com/showthread.php?t=61334&highlight=OD+%E6%8F%92%E4%BB%B6
从头到尾仔仔细细的 看了DLL脱壳的内容
有这么几个最疑惑的
加壳的DLL处理重定位表有以下几种情况:
1)完整的保留了原重定位表;
2)对原重定位表进行了加密处理;
等等
那么TMD的壳是属于1 还是2
这个问题值得讨论
像ASPack,ASProtect等壳属于第1种情况,没有加密重定位表,脱壳后,只需找到重定位的地址和大小即可。
像UPX,PECompact等壳属于第2种情况,必须重建重定位表
用什么办法或者工具判断.....采用了 列举法 说明了性质
但是没有采用定义法
准确的说 怎么判定 有没有加密重定位表
这个加密重定位表 的特征是什么......
塌实的学习DLL的脱壳修复
方法基本清楚原理也懂了...现在就是继续实践了
本人水平太菜了今天碰到一个DLL的文件壳是(PEiD v0.94 数据库更新到2008.5.9)
Themida/WinLicense V1.8.X-V1.9.X -> Oreans Technologies * Sign.By.fly *
用了好几个脚本都自动退出了
TMDScript-1[1].9.1+_private_0.7
TMDScript-1.9.5.0_ver_0.2_by_CA
两个很不错的脚本都没脱出来
请教下这个该怎么脱这个是下载地址 感兴趣的大家研究下(连接更新了)这个是完整的文件....我的目标是脱掉DLL
http://www.namipan.com/d/dzhh.rar/bb3c578e9722f4c6bdf714ab70154d451148d234c33a3a00
今天好开心啊
有重大的突破...坛主也在指导帮助我 感到很荣幸
先说下进步
恩程序没有停在RENT这里而是停在JMP这里
在此之前有跳出7个框框 我估计是被里面的某种方式保护了
但是我看不太懂 我把所有的过程写一下
一开始我的脚本没找对
呵呵.笨笨...
在坛主大大的指导下..找到了对应的一个脚本
Themida&WinLicenScript_1.91+.txt
我把设置和弹出的窗口都截图发上来了
不太清楚
我再解释一下
1.PhantOm.dll插件的选项 除了一个是灰色不能打勾以外 全部选上
2.调试选项全部选上....忽略所有异常
3 .弹出的第一个框是问你程序可能是 B C++ 选择否回到一般程序模式恢复(BORLAND C++ 简化为 B C++ 以下同)我按否
4. 弹出"如果发现是 被VM 的 B C++程序 请选择否到 B C++修复模式." 我按否
5 接下来 跳出 一个提示是"脚本执行完成 IAT表修复完成 DUMP 位于你的目录中."
6 然后 是 "IAT 基地址在 87E104 "
7 然后是"无法读取被调试进程,(00400000,007A5FFF)的内存"
8 英文 框"DUMP BAD DOS SIGNATURE"
9 英文框 " ERROR ON LINE 1296
TEXT DPE dpe $RESULT, eip"
我仔细对照下在脚本的末尾几行是这样的
end:
msg "脚本执行完成,iat表修复完成!dump位于你的目录中!"
eval "IAT基地址在:{iatadd}"
msg $RESULT
cmp iatadd,10000000
ja dllcode
eval "{tmpdir}foepdump.exe"
dpe $RESULT, eip
ret
dllcode:
eval "{tmpdir}foepdump.dll"
dpe $RESULT, eip
ret
也就是说是在这里出错了
10 最后停在 了" JMP SHORT 0087109E"
真的很感谢坛主对我的指导.呵呵, 好开心.
不知道是什么问题 汗一个
一个新发现...只有DLL的时候 会出现注册的提示框 为了文件的完整
我换一个下载连接
http://www.namipan.com/d/dzhh.rar/bb3c578e9722f4c6bdf714ab70154d451148d234c33a3a00
看了一下N多帖子
http://bbs.pediy.com/showthread.php?t=46795
http://bbs.pediy.com/showthread.php?t=49358
这两位跟我碰到的问题一致
但是究竟是什么插件导致无法读取内存的原因?????????
终于被我找到了 呵呵
peid查壳 是Armadillo 3.78 - 4.xx -> Silicon Realms Toolworks
已经到找到OEP了。但脱壳的时候提示无法读取被调试进程的内存.
是不是有什么地方有问题.??请高手指点. 谢谢.
OD里,Alt+M,在被调试进程,各区块,右键,设置访问/所有访问
然后再用LordPE来Dump
勤奋就是好啊被我在追了2天一夜后 FIND A WAY OUT!!!
昨晚2点多睡 本来想完成的
但是卡在下面的几步
用最新的PETools把在OD中的DLL总算DUMP了...
接下来就是获取输入表了
有两个选择
一个是脚本提供的IAT基址但是这个不知道怎么才能找到OEP 和其他的参数
另外就是自动获取输入表了
但是一大堆函数无效
用PETools的修复功能修复了以后
程序出现运行错误
我正在思考错误的类型和原因
下面才是苦力活
早上6点起来到现在也没办法找到OEP和需要的参数..........
诶
找了下这方面的资料推荐给大家 DLL的修复 呵呵新书啊 呵呵....研究中....迷茫中 困惑中
http://bbs.pediy.com/showthread.php?t=61334&highlight=OD+%E6%8F%92%E4%BB%B6
从头到尾仔仔细细的 看了DLL脱壳的内容
有这么几个最疑惑的
加壳的DLL处理重定位表有以下几种情况:
1)完整的保留了原重定位表;
2)对原重定位表进行了加密处理;
等等
那么TMD的壳是属于1 还是2
这个问题值得讨论
像ASPack,ASProtect等壳属于第1种情况,没有加密重定位表,脱壳后,只需找到重定位的地址和大小即可。
像UPX,PECompact等壳属于第2种情况,必须重建重定位表
用什么办法或者工具判断.....采用了 列举法 说明了性质
但是没有采用定义法
准确的说 怎么判定 有没有加密重定位表
这个加密重定位表 的特征是什么......
塌实的学习DLL的脱壳修复
方法基本清楚原理也懂了...现在就是继续实践了
|
|
|---|---|
|
|
|
|
|
哈哈是FLY 大侠收集和命名的 呵呵你真有趣
|
|
|
看来这个壳难倒了一片 有难度啊 看了几个论坛 除了求助之外 好象回复解决的 不多 哪个所谓的脱壳机根本没用 |
|
|
回来看看好象无人关心 刚才OD进去一看三个断点....还有几个脚本都是到了同一处跳了 是不是这里有校验.... |
|
|
大家都来支持下啊
|
|
|
大家空了常来看看 这个壳我逛了好多地方都没思路 呵呵 希望大牛都来看看 开发下脚本 呵呵 |
|
|
要好几天 了 这个毕竟是高难度啊 不知道FLY大侠和高手什么时候出脚本 我们也跟着长见识 认真研究低版本的脚本 欢迎建议 |
|
|
|
|
|
 这么快看出来了 真的好变态啊
|
|
|
|
|
|
我把整个过程完整的写下来..这样以后碰到了同样的DLL 脱壳也有帮助的 这个问题非常典型 我尽量用最直观最简洁最明了的方式表达 大家一起学习 |
|
|
|
|
|
汗一个 谢谢楼上的关羽小哥了 ,这个脱壳后的修复是个大难题 壳已经确定能脱 但是修复却非常的困难 在努力啃脚本的同时非常迷茫 因为修复了不下百次了,,,,,依然没想法,,,, 诶.... |
|
|
|
|
|
|
|
|
强悍啊 一个很新的难题 TMD壳的DLL修复....................... 性质 修复 和 思考 |
|
|
|
|
|
|
|
|
|
|
|
都在最后几步了 呵呵.这个规矩可以放宽的 |
|
|
|
|
|
学了半年多希望多些进步,,提高自己,实践中锻炼自己
|
|
|
|
|
|
快要找到最终方案了
|
