[原创]Detect all versions of Themida/WinLicense(更新……)-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[原创]Detect all versions of Themida/WinLicense(更新……)

发表于: 2008-12-25 15:21 13819

[原创]Detect all versions of Themida/WinLicense(更新……)

playboysen 活跃值

2008-12-25 15:21

13819

大家好！
Merry Christmas！
生蛋节了，没什么拿得出手能送大家做礼物的
正好看到What的文章Themida 1.9.1.0 - 2.0.5.0 (Finding Exact Version)，粗略看了一下，简单易学，不过每次都得重复操作一遍，不太方便，于是就想拿出来写个脚本，算是陪大家一起学习脚本写作吧

运行脚本，可以自动检测TMD加壳程序的确切版本号，便于你采取下一步行动！
没什么技术含量，高手掠过

感谢goldsun和peaceclub修正脚本；
感谢stupidass对特征码值的修正，同时对KooJiSung所做的测试工作给予充分肯定!

/*
FileName    :  Detect all versions of Themida/WinLicense        
Features    :  If your target is packed with Themida/WinLicense,this script can help you detect its version. 
               But you must note that this isn't a unpack-script for Themida.
Environment :  WinXP,ODBYdyk V1.10,OllyScript V1.65            
Support     :  Themida all versions (1.9.8.0-2.0.5.0)
Thanks      :  What/goldsun/peaceclub/stupidass/KooJiSung            
Author      :  Playboysen                                      
Date        :  2008-12-25  o_0  Merry Christmas!  
*/

var temp
var verStr
var verAddr
mov verAddr,0

bc                                  //先清除一下断点
gpa "ZwContinue", "ntdll.dll"       //bp ZwContinue
bp $RESULT
loop:
esto
cmp [esp+0C],0C0000096             //关键处的值应该为C0000096   
jnz loop                           //循环比较关键值
bc
mov eax,[esp+4]
add eax,0B8
mov temp,[eax]
find temp,#000004000000#          //特征码
cmp $RESULT,0
jz exit
mov eax,$RESULT
add eax,6 
mov verStr,"Themida/winlicense version: "
mov verAddr,eax
READSTR [verAddr],5
add verStr,$RESULT
msg verStr

exit:
ret

[课程]Android-CTF解题方法汇总！

收藏・7

免费・7

支持

最新回复 (20)
shellwolf 雪币： 2316 活跃值： (129) 能力值： (RANK：410 ) 在线值：发帖 59 回帖 652 粉丝 10 关注私信	shellwolf 10 2 楼 msg 不能像printf那样给出变量值？不知可不可以eval, 然后msg，或log 2008-12-25 15:34 0
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 91 回帖 2169 粉丝 5 关注私信	shoooo 16 3 楼太强了，这都被你发现了 2008-12-25 15:45 0
peaceclub 雪币： 255 活跃值： (207) 能力值： ( LV9，RANK：250 ) 在线值：发帖 59 回帖 967 粉丝 1 关注私信	peaceclub 6 4 楼抱歉,失误,弄错了。 2008-12-25 15:46 0
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 91 回帖 2169 粉丝 5 关注私信	shoooo 16 5 楼我试了天下2等几个程序都有效啊 2008-12-25 15:50 0
peaceclub 雪币： 255 活跃值： (207) 能力值： ( LV9，RANK：250 ) 在线值：发帖 59 回帖 967 粉丝 1 关注私信	peaceclub 6 6 楼 winlicense 2.0.5.0 测试有效。 2008-12-25 15:55 0
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 91 回帖 2169 粉丝 5 关注私信	shoooo 16 7 楼功能如此强大精彩超乎想象看了这个贴子，感觉自己又成长了 fxyang大哥可以精确定位了 2008-12-25 15:56 0
playboysen 雪币： 590 活跃值： (177) 能力值： ( LV9，RANK：680 ) 在线值：发帖 64 回帖 786 粉丝 1 关注私信	playboysen 16 8 楼在大伙的关注下，主帖已修正，请大家继续测试…… 2008-12-25 16:01 0
elance 雪币： 716 活跃值： (162) 能力值： ( LV9，RANK：250 ) 在线值：发帖 13 回帖 570 粉丝 0 关注私信	elance 6 9 楼这个太精确了，厉害 2008-12-25 16:26 0
peaceclub 雪币： 255 活跃值： (207) 能力值： ( LV9，RANK：250 ) 在线值：发帖 59 回帖 967 粉丝 1 关注私信	peaceclub 6 10 楼我修改的,直接弹版本号: var temp var verStr var verAddr mov verAddr,0 bc //先清除一下断点 gpa "ZwContinue", "ntdll.dll" //bp ZwContinue bp $RESULT loop: esto cmp [esp+0C],0C0000096 //关键处的值应该为C0000096 jnz loop //循环比较关键值 bc mov eax,[esp+4] add eax,0B8 mov temp,[eax] find temp,#04000000# //我自己定位的一处特征码（不知道是不是通用特征码——待测试） cmp $RESULT,0 jz exit mov eax,$RESULT add eax,4 mov verStr,"此文件的版本是: themida/winlicense " mov verAddr,eax READSTR [verAddr],5 add verStr,$RESULT msg verStr exit: ret 2008-12-25 16:47 0
KooJiSung 雪币： 357 活跃值： (3123) 能力值： ( LV3，RANK：25 ) 在线值：发帖 8 回帖 682 粉丝 3 关注私信	KooJiSung 11 楼 wlc 2040，2050 无效 1980，1990，2000，2010，2020，2030，2044 有效 2008-12-25 16:47 0
stupidass 雪币： 356 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 163 粉丝 0 关注私信	stupidass 12 楼其实有效与无效完全取决于特征值#04000000#的选取是否合适。如果无效的朋友请稍微改一下代码： find temp,#000004000000# //这个特征的唯一性比那个要好一点 cmp $RESULT,0 jz exit mov eax,$RESULT add eax,6 //这里自然就变了 2008-12-25 17:14 0
KooJiSung 雪币： 357 活跃值： (3123) 能力值： ( LV3，RANK：25 ) 在线值：发帖 8 回帖 682 粉丝 3 关注私信	KooJiSung 13 楼经过楼上的这么一改 1980-2050 有效 2008-12-25 17:20 0
playboysen 雪币： 590 活跃值： (177) 能力值： ( LV9，RANK：680 ) 在线值：发帖 64 回帖 786 粉丝 1 关注私信	playboysen 16 14 楼感谢楼上几位修正脚本，有时间请允许我在主贴更新看来我得继续学习啊，呵呵 2008-12-25 21:40 0
夜凉如水雪币： 136 活跃值： (105) 能力值： ( LV9，RANK：140 ) 在线值：发帖 18 回帖 719 粉丝 1 关注私信	夜凉如水 3 15 楼不错不错金大大的插件更好玩金大大怎么不把你的插件转过来赚UB呢哈哈 2008-12-25 21:43 0
踏血无痕雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 51 粉丝 0 关注私信	踏血无痕 16 楼这都被你发现了 2008-12-25 23:29 0
fixfix 雪币： 419 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 671 粉丝 0 关注私信	fixfix 17 楼太厉害，这都被你发现了，感叹下！ 2008-12-25 23:33 0
playboysen 雪币： 590 活跃值： (177) 能力值： ( LV9，RANK：680 ) 在线值：发帖 64 回帖 786 粉丝 1 关注私信	playboysen 16 18 楼节日献礼好多TMD的脚本和工具需要的注意收录哦 2008-12-28 17:16 0
香草吧噗雪币： 201 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 37 粉丝 0 关注私信	香草吧噗 19 楼大大如果是2.05以上的壳这脚本侦测结果是？ 2009-2-22 20:16 0
静慕者雪币： 144 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 195 粉丝 0 关注私信	静慕者 20 楼想知道脚本怎么用？ 2009-2-22 21:53 0
playboysen 雪币： 590 活跃值： (177) 能力值： ( LV9，RANK：680 ) 在线值：发帖 64 回帖 786 粉丝 1 关注私信	playboysen 16 21 楼和其他OD脚本一样的使用方法前提是你的OD有OllyScript插件 2009-2-23 13:08 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

playboysen

发帖

786

回帖

680

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (20)
shellwolf 雪币： 2316 活跃值： (129) 能力值： (RANK：410 ) 在线值：发帖 59 回帖 652 粉丝 10 关注私信	shellwolf 10 2 楼 msg 不能像printf那样给出变量值？不知可不可以eval, 然后msg，或log 2008-12-25 15:34 0
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 91 回帖 2169 粉丝 5 关注私信	shoooo 16 3 楼太强了，这都被你发现了 2008-12-25 15:45 0
peaceclub 雪币： 255 活跃值： (207) 能力值： ( LV9，RANK：250 ) 在线值：发帖 59 回帖 967 粉丝 1 关注私信	peaceclub 6 4 楼抱歉,失误,弄错了。 2008-12-25 15:46 0
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 91 回帖 2169 粉丝 5 关注私信	shoooo 16 5 楼我试了天下2等几个程序都有效啊 2008-12-25 15:50 0
peaceclub 雪币： 255 活跃值： (207) 能力值： ( LV9，RANK：250 ) 在线值：发帖 59 回帖 967 粉丝 1 关注私信	peaceclub 6 6 楼 winlicense 2.0.5.0 测试有效。 2008-12-25 15:55 0
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 91 回帖 2169 粉丝 5 关注私信	shoooo 16 7 楼功能如此强大精彩超乎想象看了这个贴子，感觉自己又成长了 fxyang大哥可以精确定位了 2008-12-25 15:56 0
playboysen 雪币： 590 活跃值： (177) 能力值： ( LV9，RANK：680 ) 在线值：发帖 64 回帖 786 粉丝 1 关注私信	playboysen 16 8 楼在大伙的关注下，主帖已修正，请大家继续测试…… 2008-12-25 16:01 0
elance 雪币： 716 活跃值： (162) 能力值： ( LV9，RANK：250 ) 在线值：发帖 13 回帖 570 粉丝 0 关注私信	elance 6 9 楼这个太精确了，厉害 2008-12-25 16:26 0
peaceclub 雪币： 255 活跃值： (207) 能力值： ( LV9，RANK：250 ) 在线值：发帖 59 回帖 967 粉丝 1 关注私信	peaceclub 6 10 楼我修改的,直接弹版本号: var temp var verStr var verAddr mov verAddr,0 bc //先清除一下断点 gpa "ZwContinue", "ntdll.dll" //bp ZwContinue bp $RESULT loop: esto cmp [esp+0C],0C0000096 //关键处的值应该为C0000096 jnz loop //循环比较关键值 bc mov eax,[esp+4] add eax,0B8 mov temp,[eax] find temp,#04000000# //我自己定位的一处特征码（不知道是不是通用特征码——待测试） cmp $RESULT,0 jz exit mov eax,$RESULT add eax,4 mov verStr,"此文件的版本是: themida/winlicense " mov verAddr,eax READSTR [verAddr],5 add verStr,$RESULT msg verStr exit: ret 2008-12-25 16:47 0
KooJiSung 雪币： 357 活跃值： (3123) 能力值： ( LV3，RANK：25 ) 在线值：发帖 8 回帖 682 粉丝 3 关注私信	KooJiSung 11 楼 wlc 2040，2050 无效 1980，1990，2000，2010，2020，2030，2044 有效 2008-12-25 16:47 0
stupidass 雪币： 356 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 163 粉丝 0 关注私信	stupidass 12 楼其实有效与无效完全取决于特征值#04000000#的选取是否合适。如果无效的朋友请稍微改一下代码： find temp,#000004000000# //这个特征的唯一性比那个要好一点 cmp $RESULT,0 jz exit mov eax,$RESULT add eax,6 //这里自然就变了 2008-12-25 17:14 0
KooJiSung 雪币： 357 活跃值： (3123) 能力值： ( LV3，RANK：25 ) 在线值：发帖 8 回帖 682 粉丝 3 关注私信	KooJiSung 13 楼经过楼上的这么一改 1980-2050 有效 2008-12-25 17:20 0
playboysen 雪币： 590 活跃值： (177) 能力值： ( LV9，RANK：680 ) 在线值：发帖 64 回帖 786 粉丝 1 关注私信	playboysen 16 14 楼感谢楼上几位修正脚本，有时间请允许我在主贴更新看来我得继续学习啊，呵呵 2008-12-25 21:40 0
夜凉如水雪币： 136 活跃值： (105) 能力值： ( LV9，RANK：140 ) 在线值：发帖 18 回帖 719 粉丝 1 关注私信	夜凉如水 3 15 楼不错不错金大大的插件更好玩金大大怎么不把你的插件转过来赚UB呢哈哈 2008-12-25 21:43 0
踏血无痕雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 51 粉丝 0 关注私信	踏血无痕 16 楼这都被你发现了 2008-12-25 23:29 0
fixfix 雪币： 419 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 671 粉丝 0 关注私信	fixfix 17 楼太厉害，这都被你发现了，感叹下！ 2008-12-25 23:33 0
playboysen 雪币： 590 活跃值： (177) 能力值： ( LV9，RANK：680 ) 在线值：发帖 64 回帖 786 粉丝 1 关注私信	playboysen 16 18 楼节日献礼好多TMD的脚本和工具需要的注意收录哦 2008-12-28 17:16 0
香草吧噗雪币： 201 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 37 粉丝 0 关注私信	香草吧噗 19 楼大大如果是2.05以上的壳这脚本侦测结果是？ 2009-2-22 20:16 0
静慕者雪币： 144 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 195 粉丝 0 关注私信	静慕者 20 楼想知道脚本怎么用？ 2009-2-22 21:53 0
playboysen 雪币： 590 活跃值： (177) 能力值： ( LV9，RANK：680 ) 在线值：发帖 64 回帖 786 粉丝 1 关注私信	playboysen 16 21 楼和其他OD脚本一样的使用方法前提是你的OD有OllyScript插件 2009-2-23 13:08 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复