[原创]Themida的另类破解-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[原创]Themida的另类破解

2008-9-6 08:43 54115

[原创]Themida的另类破解

wulje

2008-9-6 08:43

54115

查看主题内容

收藏・57

点赞・7

打赏

最新回复 (66) ◀ 1 2 3 ▶
JJGuo 雪币： 2 活跃值： (1647) 能力值： ( LV2，RANK：10 ) 在线值：发帖 47 回帖 290 粉丝 6 关注私信	JJGuo 2008-9-9 19:02 26 楼 0 对这个壳我头都搞大了. LZ的附件中的文件用PEID查壳显示为: Themida/WinLicense V1.8.X-V2.X -> Oreans Technologies * Sign.By.fly * 20080131 * 我有一个EXE文件查壳也是:Themida/WinLicense V1.8.X-V2.X -> Oreans Technologies * Sign.By.fly * 20080131 * 这个壳我用脱壳机后运行一闪就没了.用脚本提示"可能是旧版本" OD载入你的附件,用上面的脚本,跑不了出现下面提示: 上传的附件： error.gif （5.49kb，538次下载）
shiweiya 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	shiweiya 2008-9-9 19:28 27 楼 0 刚破了个Armadillo 1.xx-2.xx -> Silicon Realms Toolworks的壳.. 可以运行,,,, 但用IE查..却显示UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo的壳,, 有高人指点下吗... 请说详细点!
zhuwg 雪币： 451 活跃值： (78) 能力值： ( LV12，RANK：470 ) 在线值：发帖 37 回帖 731 粉丝 6 关注私信	zhuwg 11 2008-9-10 08:09 28 楼 0 进来学习+支持
guyuelang 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 33 粉丝 0 关注私信	guyuelang 2008-9-10 10:11 29 楼 0 TMD壳无比牛偶看到就郁闷老大的话一点都不啰嗦还很不够啰嗦期望能更多的啰嗦下越多啰嗦越好
scorpionx 雪币： 218 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 11 粉丝 0 关注私信	scorpionx 2008-9-10 13:25 30 楼 0 收藏了。。。。。
wulje 雪币： 305 活跃值： (10) 能力值： ( LV9，RANK：570 ) 在线值：发帖 17 回帖 63 粉丝 1 关注私信	wulje 14 2008-9-10 23:34 31 楼 0 OD能否运行，跟OD的设置有很大的关系，运行Themida一定要“隐藏OD”，即打开“菜单---插件---HideOD--Option--”，在出现的调试设置对话框中，除Process32Next，OutDebugStringA两项不选外，其余的都要选取。然后试试。我的脚本应用于Themida1855加密的其它程序也是非常顺利的，真的。
啊CR 雪币： 623 活跃值： (10) 能力值： ( LV9，RANK：170 ) 在线值：发帖 57 回帖 331 粉丝 0 关注私信	啊CR 3 2008-9-11 22:07 32 楼 0 很强很强学习收藏
klax 雪币： 203 活跃值： (53) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 18 粉丝 0 关注私信	klax 2008-9-11 23:18 33 楼 0 我也是没看到任何提示就run起来了(已将jump second mark掉) 可否请楼主告知使用的是那一个版本的OD? 谢谢
JJGuo 雪币： 2 活跃值： (1647) 能力值： ( LV2，RANK：10 ) 在线值：发帖 47 回帖 290 粉丝 6 关注私信	JJGuo 2008-9-12 00:00 34 楼 0 今晚又试了一下,按31楼wulje 的提示设置OD,更换了PEID数据库,这次查出为:Themida\|WinLicense 1.8.x.x-1.9.x.x -> Oreans * If the HideOD is Failure,the will be 1.9.x.x * 第一次运行按提示修改:mov Rva,EC7592 并将第一个JMP注释了, 重新载入后,3秒钟后程序就运行了.DUMP后,程序大小为10.8MB,脱壳程序不能运行.
klax 雪币： 203 活跃值： (53) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 18 粉丝 0 关注私信	klax 2008-9-12 00:38 35 楼 0 请问楼主,这个方法适用于1.9.9.0 版吗? 我要剥壳的软件用Watermark viewer看是 Customer: shoooo[CUG] 但shoooo有release 1.9.5.0 及 1.9.9.0,所以也有可能是 1.9.9.0版加的壳
wulje 雪币： 305 活跃值： (10) 能力值： ( LV9，RANK：570 ) 在线值：发帖 17 回帖 63 粉丝 1 关注私信	wulje 14 2008-9-12 21:00 36 楼 0 回33楼：脱壳后的程序是不能运行的，因这IAT已经被装载了（即换成了API地址）要运行，还要做修复INT（函数名表），IID表，入口地址，IAT表（换成指向API名称）等工作，这项工作可能需要点PE文件知识才行。（我较早的“菜鸟脱壳之？”有介绍，可参考）
wulje 雪币： 305 活跃值： (10) 能力值： ( LV9，RANK：570 ) 在线值：发帖 17 回帖 63 粉丝 1 关注私信	wulje 14 2008-9-13 12:48 37 楼 0 回33、35楼：我用的是Themida1.8.5.5版。對1.9.1.0版还不行。
klax 雪币： 203 活跃值： (53) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 18 粉丝 0 关注私信	klax 2008-9-15 00:19 38 楼 0 了解,谢谢, 期待楼主关于 Themida 1.9.9 的教程现身
木叶禽兽雪币： 103 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 21 粉丝 0 关注私信	木叶禽兽 2008-12-27 15:49 39 楼 0 脚本使用了好几个。每次都是停在这里不知道该怎么办了 0076A257 8B9D 99241B07 mov ebx, dword ptr [ebp+71B2499] 0076A25D 61 popad 0076A25E 40 inc eax 0076A25F 0F3F ??? ; 未知命令 0076A261 07 pop es 0076A262 0B648F 05 or esp, dword ptr [edi+ecx*4+5] 0076A266 0000 add byte ptr [eax], al 0076A268 0000 add byte ptr [eax], al 0076A26A 83C4 04 add esp, 4 0076A26D 89BD 39151B07 mov dword ptr [ebp+71B1539], edi 0076A273 66:8BCF mov cx, di 0076A276 83FB FF cmp ebx, -1 0076A279 0F84 46000000 je 0076A2C5 0076A27F 6A 00 push 0 0076A281 57 push edi 0076A282 E8 03000000 call 0076A28A 0076A287 205F C3 and byte ptr [edi-3D], bl 0076A28A 5F pop edi 0076A28B 897C24 04 mov dword ptr [esp+4], edi 0076A28F 814424 04 15000>add dword ptr [esp+4], 15 0076A297 47 inc edi
木叶禽兽雪币： 103 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 21 粉丝 0 关注私信	木叶禽兽 2008-12-27 15:50 40 楼 0 0076A257 8B9D 99241B07 mov ebx, dword ptr [ebp+71B2499] 0076A25D 61 popad 0076A25E 40 inc eax 0076A25F 0F3F ??? ; 未知命令 0076A261 07 pop es 0076A262 0B648F 05 or esp, dword ptr [edi+ecx*4+5] 0076A266 0000 add byte ptr [eax], al 0076A268 0000 add byte ptr [eax], al 0076A26A 83C4 04 add esp, 4 0076A26D 89BD 39151B07 mov dword ptr [ebp+71B1539], edi 是这里----------- 0076A273 66:8BCF mov cx, di 0076A276 83FB FF cmp ebx, -1 0076A279 0F84 46000000 je 0076A2C5 0076A27F 6A 00 push 0 0076A281 57 push edi 0076A282 E8 03000000 call 0076A28A 0076A287 205F C3 and byte ptr [edi-3D], bl 0076A28A 5F pop edi 0076A28B 897C24 04 mov dword ptr [esp+4], edi 0076A28F 814424 04 15000>add dword ptr [esp+4], 15 0076A297 47 inc edi
fengkys 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	fengkys 2009-1-20 09:41 41 楼 0 学习.....
etcongshao 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	etcongshao 2009-1-31 13:43 42 楼 0 收藏了。。。正在找。。。
rockywoo 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 13 粉丝 0 关注私信	rockywoo 2009-2-2 14:52 43 楼 0 试过了对 Themida/WinLicense V1.8.X-V1.9.X Other -> Oreans Technologies * Sign.By.fly * 20080131 * 没有效果直接运行到 0059D324 ED in eax, dx 0059D325 81FB 68584D56 cmp ebx, 564D5868 0059D32B 75 0A jnz short 0059D337 0059D32D C785 89307409 0>mov dword ptr [ebp+9743089], 1 0059D337 64:8F05 0000000>pop dword ptr fs:[0] 0059D33E 83C4 04 add esp, 4 0059D341 2995 A5037409 sub dword ptr [ebp+97403A5], edx 0059D347 6A 00 push 0 0059D349 52 push edx 0059D34A E8 03000000 call 0059D352 0059D34F 205A C3 and byte ptr [edx-3D], bl 0059D352 5A pop edx 。。。。。。。。。。。。。。。。
johnllon 雪币： 207 活跃值： (19) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 12 粉丝 0 关注私信	johnllon 2009-3-9 13:38 44 楼 0 为什么我用您的例子和脚本跑，就会飞呢？请问你的“异常”那里是怎么设置的？
黑翼人雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	黑翼人 2009-3-10 22:32 45 楼 0 TMD的壳真的TMD的烦。。希望我能学会带它脱掉。
飞天凤凰雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	飞天凤凰 2009-3-11 00:48 46 楼 0 学习了，，，
九栋五楼雪币： 15 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 66 粉丝 0 关注私信	九栋五楼 2009-3-12 22:38 47 楼 0 我遇到一壳，PEID查不到，OD载入就DOWN掉，不知道是什么壳
ttskying 雪币： 202 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 55 粉丝 0 关注私信	ttskying 2009-3-14 02:08 48 楼 0 比较强,收藏
shoujing 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 16 粉丝 0 关注私信	shoujing 2009-3-14 10:43 49 楼 0 汇编，有点看不懂。
hunterwang 雪币： 205 活跃值： (55) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 28 粉丝 1 关注私信	hunterwang 2009-3-19 00:23 50 楼 0 出现的信息,老解决不掉上传的附件：未命名.JPG （10.87kb，170次下载）
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

wulje

发帖

回帖

570

RANK

关注

私信

他的文章

[原创]对Themida1.9.1.0的通法破解一文的补充（再修正）

[原创]Themida1.9.1.0版的通法破解

[原创]Themida的另类破解

对themida(1.8.5.5)加密VC++程序的完美脱壳

[原创]对《3D定胆杀码霸主》壳的几点认识——痛苦的经历

关于我们

联系我们

企业服务

看雪公众号

最新回复 (66) ◀ 1 2 3 ▶
JJGuo 雪币： 2 活跃值： (1647) 能力值： ( LV2，RANK：10 ) 在线值：发帖 47 回帖 290 粉丝 6 关注私信	JJGuo 2008-9-9 19:02 26 楼 0 对这个壳我头都搞大了. LZ的附件中的文件用PEID查壳显示为: Themida/WinLicense V1.8.X-V2.X -> Oreans Technologies * Sign.By.fly * 20080131 * 我有一个EXE文件查壳也是:Themida/WinLicense V1.8.X-V2.X -> Oreans Technologies * Sign.By.fly * 20080131 * 这个壳我用脱壳机后运行一闪就没了.用脚本提示"可能是旧版本" OD载入你的附件,用上面的脚本,跑不了出现下面提示: 上传的附件： error.gif （5.49kb，538次下载）
shiweiya 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	shiweiya 2008-9-9 19:28 27 楼 0 刚破了个Armadillo 1.xx-2.xx -> Silicon Realms Toolworks的壳.. 可以运行,,,, 但用IE查..却显示UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo的壳,, 有高人指点下吗... 请说详细点!
zhuwg 雪币： 451 活跃值： (78) 能力值： ( LV12，RANK：470 ) 在线值：发帖 37 回帖 731 粉丝 6 关注私信	zhuwg 11 2008-9-10 08:09 28 楼 0 进来学习+支持
guyuelang 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 33 粉丝 0 关注私信	guyuelang 2008-9-10 10:11 29 楼 0 TMD壳无比牛偶看到就郁闷老大的话一点都不啰嗦还很不够啰嗦期望能更多的啰嗦下越多啰嗦越好
scorpionx 雪币： 218 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 11 粉丝 0 关注私信	scorpionx 2008-9-10 13:25 30 楼 0 收藏了。。。。。
wulje 雪币： 305 活跃值： (10) 能力值： ( LV9，RANK：570 ) 在线值：发帖 17 回帖 63 粉丝 1 关注私信	wulje 14 2008-9-10 23:34 31 楼 0 OD能否运行，跟OD的设置有很大的关系，运行Themida一定要“隐藏OD”，即打开“菜单---插件---HideOD--Option--”，在出现的调试设置对话框中，除Process32Next，OutDebugStringA两项不选外，其余的都要选取。然后试试。我的脚本应用于Themida1855加密的其它程序也是非常顺利的，真的。
啊CR 雪币： 623 活跃值： (10) 能力值： ( LV9，RANK：170 ) 在线值：发帖 57 回帖 331 粉丝 0 关注私信	啊CR 3 2008-9-11 22:07 32 楼 0 很强很强学习收藏
klax 雪币： 203 活跃值： (53) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 18 粉丝 0 关注私信	klax 2008-9-11 23:18 33 楼 0 我也是没看到任何提示就run起来了(已将jump second mark掉) 可否请楼主告知使用的是那一个版本的OD? 谢谢
JJGuo 雪币： 2 活跃值： (1647) 能力值： ( LV2，RANK：10 ) 在线值：发帖 47 回帖 290 粉丝 6 关注私信	JJGuo 2008-9-12 00:00 34 楼 0 今晚又试了一下,按31楼wulje 的提示设置OD,更换了PEID数据库,这次查出为:Themida\|WinLicense 1.8.x.x-1.9.x.x -> Oreans * If the HideOD is Failure,the will be 1.9.x.x * 第一次运行按提示修改:mov Rva,EC7592 并将第一个JMP注释了, 重新载入后,3秒钟后程序就运行了.DUMP后,程序大小为10.8MB,脱壳程序不能运行.
klax 雪币： 203 活跃值： (53) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 18 粉丝 0 关注私信	klax 2008-9-12 00:38 35 楼 0 请问楼主,这个方法适用于1.9.9.0 版吗? 我要剥壳的软件用Watermark viewer看是 Customer: shoooo[CUG] 但shoooo有release 1.9.5.0 及 1.9.9.0,所以也有可能是 1.9.9.0版加的壳
wulje 雪币： 305 活跃值： (10) 能力值： ( LV9，RANK：570 ) 在线值：发帖 17 回帖 63 粉丝 1 关注私信	wulje 14 2008-9-12 21:00 36 楼 0 回33楼：脱壳后的程序是不能运行的，因这IAT已经被装载了（即换成了API地址）要运行，还要做修复INT（函数名表），IID表，入口地址，IAT表（换成指向API名称）等工作，这项工作可能需要点PE文件知识才行。（我较早的“菜鸟脱壳之？”有介绍，可参考）
wulje 雪币： 305 活跃值： (10) 能力值： ( LV9，RANK：570 ) 在线值：发帖 17 回帖 63 粉丝 1 关注私信	wulje 14 2008-9-13 12:48 37 楼 0 回33、35楼：我用的是Themida1.8.5.5版。對1.9.1.0版还不行。
klax 雪币： 203 活跃值： (53) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 18 粉丝 0 关注私信	klax 2008-9-15 00:19 38 楼 0 了解,谢谢, 期待楼主关于 Themida 1.9.9 的教程现身
木叶禽兽雪币： 103 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 21 粉丝 0 关注私信	木叶禽兽 2008-12-27 15:49 39 楼 0 脚本使用了好几个。每次都是停在这里不知道该怎么办了 0076A257 8B9D 99241B07 mov ebx, dword ptr [ebp+71B2499] 0076A25D 61 popad 0076A25E 40 inc eax 0076A25F 0F3F ??? ; 未知命令 0076A261 07 pop es 0076A262 0B648F 05 or esp, dword ptr [edi+ecx*4+5] 0076A266 0000 add byte ptr [eax], al 0076A268 0000 add byte ptr [eax], al 0076A26A 83C4 04 add esp, 4 0076A26D 89BD 39151B07 mov dword ptr [ebp+71B1539], edi 0076A273 66:8BCF mov cx, di 0076A276 83FB FF cmp ebx, -1 0076A279 0F84 46000000 je 0076A2C5 0076A27F 6A 00 push 0 0076A281 57 push edi 0076A282 E8 03000000 call 0076A28A 0076A287 205F C3 and byte ptr [edi-3D], bl 0076A28A 5F pop edi 0076A28B 897C24 04 mov dword ptr [esp+4], edi 0076A28F 814424 04 15000>add dword ptr [esp+4], 15 0076A297 47 inc edi
木叶禽兽雪币： 103 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 21 粉丝 0 关注私信	木叶禽兽 2008-12-27 15:50 40 楼 0 0076A257 8B9D 99241B07 mov ebx, dword ptr [ebp+71B2499] 0076A25D 61 popad 0076A25E 40 inc eax 0076A25F 0F3F ??? ; 未知命令 0076A261 07 pop es 0076A262 0B648F 05 or esp, dword ptr [edi+ecx*4+5] 0076A266 0000 add byte ptr [eax], al 0076A268 0000 add byte ptr [eax], al 0076A26A 83C4 04 add esp, 4 0076A26D 89BD 39151B07 mov dword ptr [ebp+71B1539], edi 是这里----------- 0076A273 66:8BCF mov cx, di 0076A276 83FB FF cmp ebx, -1 0076A279 0F84 46000000 je 0076A2C5 0076A27F 6A 00 push 0 0076A281 57 push edi 0076A282 E8 03000000 call 0076A28A 0076A287 205F C3 and byte ptr [edi-3D], bl 0076A28A 5F pop edi 0076A28B 897C24 04 mov dword ptr [esp+4], edi 0076A28F 814424 04 15000>add dword ptr [esp+4], 15 0076A297 47 inc edi
fengkys 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	fengkys 2009-1-20 09:41 41 楼 0 学习.....
etcongshao 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	etcongshao 2009-1-31 13:43 42 楼 0 收藏了。。。正在找。。。
rockywoo 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 13 粉丝 0 关注私信	rockywoo 2009-2-2 14:52 43 楼 0 试过了对 Themida/WinLicense V1.8.X-V1.9.X Other -> Oreans Technologies * Sign.By.fly * 20080131 * 没有效果直接运行到 0059D324 ED in eax, dx 0059D325 81FB 68584D56 cmp ebx, 564D5868 0059D32B 75 0A jnz short 0059D337 0059D32D C785 89307409 0>mov dword ptr [ebp+9743089], 1 0059D337 64:8F05 0000000>pop dword ptr fs:[0] 0059D33E 83C4 04 add esp, 4 0059D341 2995 A5037409 sub dword ptr [ebp+97403A5], edx 0059D347 6A 00 push 0 0059D349 52 push edx 0059D34A E8 03000000 call 0059D352 0059D34F 205A C3 and byte ptr [edx-3D], bl 0059D352 5A pop edx 。。。。。。。。。。。。。。。。
johnllon 雪币： 207 活跃值： (19) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 12 粉丝 0 关注私信	johnllon 2009-3-9 13:38 44 楼 0 为什么我用您的例子和脚本跑，就会飞呢？请问你的“异常”那里是怎么设置的？
黑翼人雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	黑翼人 2009-3-10 22:32 45 楼 0 TMD的壳真的TMD的烦。。希望我能学会带它脱掉。
飞天凤凰雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	飞天凤凰 2009-3-11 00:48 46 楼 0 学习了，，，
九栋五楼雪币： 15 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 66 粉丝 0 关注私信	九栋五楼 2009-3-12 22:38 47 楼 0 我遇到一壳，PEID查不到，OD载入就DOWN掉，不知道是什么壳
ttskying 雪币： 202 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 55 粉丝 0 关注私信	ttskying 2009-3-14 02:08 48 楼 0 比较强,收藏
shoujing 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 16 粉丝 0 关注私信	shoujing 2009-3-14 10:43 49 楼 0 汇编，有点看不懂。
hunterwang 雪币： 205 活跃值： (55) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 28 粉丝 1 关注私信	hunterwang 2009-3-19 00:23 50 楼 0 出现的信息,老解决不掉上传的附件：未命名.JPG （10.87kb，170次下载）
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复