[推荐]脱壳Themida 2.0.5.0-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[推荐]脱壳Themida 2.0.5.0

发表于: 2009-9-10 23:46 8865

[推荐]脱壳Themida 2.0.5.0

hxqlky

2009-9-10 23:46

8865

【文章标题】: 脱壳Themida 2.0.5.0
【文章作者】: hxqlky
【作者邮箱】: zmunlky@gmail.com
【作者主页】: http://www.x5dj.com/hxqlky
【软件名称】: unpackme
【下载地址】: 自己搜索下载
【加壳方式】: Themida 2.0.5.0
【保护方式】: Themida
【使用工具】: od,UIF，ImportRE
【作者声明】: 只是感兴趣，没有其他目的。失误之处敬请诸位大侠赐教!
--------------------------------------------------------------------------------
【详细过程】
  运行程序来到msvbvm60.ThunRTMain
  7344357C >  55             push ebp                               ; 注册表随.0051CDBE
  7344357D 8BEC          mov ebp,esp
  7344357F 6A FF          push -1
  73443581 68 C0944573    push msvbvm60.734594C0
  73443586 68 26B15273    push msvbvm60.7352B126
  7344358B 64:A1 00000000  mov eax,dword ptr fs:[0]

  7344357C >6AEC8B55  U嬱j 数据窗口，硬件访问

  来到401120向下找msvbvm60.ThunRTMain
  004011BD ?  98          cwde
  004011BE ?  02F0       add dh,al
  004011C0 .- E9 B7230473 jmp msvbvm60.ThunRTMain    硬件断点
重新载入
  00553175 /0F85 9D000000 jnz 注册表随.00553218    断在这里  取消7344357断点
  0055317B |0F8A 01000000 jpe 注册表随.00553182
  00553181 |F9             stc
  00553182 |66:8178 04 4C2E cmp word ptr ds:[eax+4],2E4C
  00553188 |0F85 8A000000 jnz 注册表随.00553218
  0055318E |60             pushad
  0055318F |50             push eax
  00553190 |E9 10000000    jmp 注册表随.005531A5



  005507E3 3B85 F5207406 cmp eax,dword ptr ss:[ebp+67420F5]    ; msvbvm60.ThunRTMain  来到这里
  005507E9 0F84 22000000 je 注册表随.00550811                   mgic jump 修改
  005507EF F8             clc
  005507F0 3B85 FD287406 cmp eax,dword ptr ss:[ebp+67428FD]
  005507F6 0F85 2C000000 jnz 注册表随.00550828

  004011BA .- E9 E8881073 jmp msvbvm60.EVENT_SINK_Release
  004011BF    AB          db AB
  004011C0 .- E9 B7230473 jmp msvbvm60.ThunRTMain          取消00553175断点，来到这里
  004011C5    4C          db 4C                                  ;  CHAR 'L'

  00401354  21354256  VB5!
  00401358  62761FF0  ?vb
  0040135C  73686336  6chs
  00401360  6C6C642E  .dll

  0012FF90 0054426F  注册表随.0054426F
  0012FF94 00401354  注册表随.00401354
  0012FF98 004FB701  ASCII "`j"
  0012FF9C 0012FFE0
  0012FFA0 004EF3C8  注册表随.004EF3C8

  004011C0 .- E9 B7230473 jmp msvbvm60.ThunRTMain
  004011C5    28          db 28                                  ;  CHAR '('
  004011C6    00          db 00
  004011C7    68 54134000 push 注册表随.00401354          还原 oep
  004011CC    E8 EFFFFFFF call 注册表随.004011C0
  004011D1    14          db 14
  004011D2    00          db 00
  004011D3    00          db 00
  004011D4    00          db 00

  UIF修复iat  e9-ff25
  ImportRE 修复dump
ing:  http://d.namipan.com/d/64765302de3443ac199c6fb0c5937bf6453169f3ee8c3b00
--------------------------------------------------------------------------------
【版权声明】: 本文原创于看雪技术论坛, 转载请注明作者并保持文章的完整, 谢谢!

                                                   2009年09月10日 22:59:50

[课程]Linux pwn 探索篇！

上传的附件：

Themida 2.0.5.0 unpackme.rar （615.63kb，97次下载）

收藏・6

免费・0

支持

最新回复 (9)
hxqlky 雪币： 218 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 27 回帖 156 粉丝 0 关注私信	hxqlky 2 楼加个链接 file1： http://www.plunder.com/Themida-2-0-5-0-unpackme-download-a04fa137d6.htm file2： http://filebeam.com/2da240170601420b5587b65f050a8b32 2009-9-11 00:05 0
hxqlky 雪币： 218 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 27 回帖 156 粉丝 0 关注私信	hxqlky 3 楼 Macros Information ------------------ VM Macros: 0 CodeReplace Macros: 0 ENCRYPT Macros: 0 CLEAR Macros: 0 CHECK_PROTECTION Macros: 0 Protection Options ------------------ Anti-Debugger: Advanced Anti-Dumpers: ENABLED Entry Point Ofuscation: ENABLED Resource Encryption: ENABLED VMWare compatible: ENABLED API-Wrapping Level: Level 2 Anti-Patching: None Metamorph Security: ENABLED Memory Guard: ENABLED When Debugger Found: Display Message Application compression: ENABLED Resources compression: ENABLED SecureEngine compression: ENABLED Anti-File Monitor: ENABLED Anti-Registry Monitor: ENABLED Delphi/BCB form protection: ENABLED Virtual Machine Settings ------------------------ Number of Virtual APIs wrapped: 0 API Virtualization Level: 10 Entry Point Virtualization: 15 instructions Multi Branch Technology: DISABLED Virtual Machine Processor: Mutable CISC processor Number of CPUs: 1 Opcode Type: Metamorphic - Level 2 Dynamic Opcode: 20% Dynamic Advanced Protection Options --------------------------- Encrypt Application: ENABLED DLL plugin: DISABLED Hide from PE scanners: Standard .NET assemblies: ENABLED Active Context: DISABLED Add Manifest: Don't add manifest XBundler files -------------- No files to bundle 2009-9-11 00:34 0
hxqlky 雪币： 218 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 27 回帖 156 粉丝 0 关注私信	hxqlky 4 楼 file1 http://www.plunder.com/Themida-2-1-0-0-Unpackme-download-9dd39fa3f8.htm http://www.filefront.com/14505031/Themida-2.1.0.0-Unpackme.rar/ file2 file3 http://filebeam.com/8d78a06cfce91ac3ef38752a13119431 Themida 2.1.0.0 Unpackme 2009-9-11 01:02 0
xieyuzhe 雪币： 337 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 119 粉丝 0 关注私信	xieyuzhe 5 楼 00406014 B8 00000000 mov eax,0 00406019 60 pushad 0040601A 0BC0 or eax,eax 我OD载入入口怎么在这里？ 2009-9-11 01:09 0
hxqlky 雪币： 218 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 27 回帖 156 粉丝 0 关注私信	hxqlky 6 楼会停在在这里正常啊00406014 B8 00000000 mov eax,0 2009-9-11 01:20 0
piliwangzi 雪币： 259 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 12 粉丝 0 关注私信	piliwangzi 7 楼请问winlinsece 1.8.5.5 的壳去除注册号，有什么思路？ 2009-9-11 08:23 0
ucantseeme 雪币： 442 活跃值： (43) 能力值： ( LV2，RANK：10 ) 在线值：发帖 46 回帖 990 粉丝 1 关注私信	ucantseeme 8 楼例子程序能不能不用VB 2009-9-15 15:17 0
孤行有你雪币： 255 活跃值： (37) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 250 粉丝 0 关注私信	孤行有你 9 楼看见HXQlky 的图我眼晕，，麻烦换一个头像吧。。 2009-9-15 17:27 0
luckxiao 雪币： 279 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 284 粉丝 1 关注私信	luckxiao 10 楼 VB程序天生残缺，强壳放在它身上就大打折扣 2009-9-24 11:59 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

hxqlky

发帖

156

回帖

RANK

关注

私信

他的文章

[分享]eXPressor 1.6.0.1 (All Protections) 5555
[分享]脱壳svkp1.43 5363
[分享]脱壳Yodas Crypter 1.3 3886
[分享]脱壳ExeCryptor 2.4.1 6278
[分享]精确定位tmd、wl 1.91-2.065 Version 6732

关于我们

联系我们

企业服务

看雪公众号

最新回复 (9)
hxqlky 雪币： 218 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 27 回帖 156 粉丝 0 关注私信	hxqlky 2 楼加个链接 file1： http://www.plunder.com/Themida-2-0-5-0-unpackme-download-a04fa137d6.htm file2： http://filebeam.com/2da240170601420b5587b65f050a8b32 2009-9-11 00:05 0
hxqlky 雪币： 218 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 27 回帖 156 粉丝 0 关注私信	hxqlky 3 楼 Macros Information ------------------ VM Macros: 0 CodeReplace Macros: 0 ENCRYPT Macros: 0 CLEAR Macros: 0 CHECK_PROTECTION Macros: 0 Protection Options ------------------ Anti-Debugger: Advanced Anti-Dumpers: ENABLED Entry Point Ofuscation: ENABLED Resource Encryption: ENABLED VMWare compatible: ENABLED API-Wrapping Level: Level 2 Anti-Patching: None Metamorph Security: ENABLED Memory Guard: ENABLED When Debugger Found: Display Message Application compression: ENABLED Resources compression: ENABLED SecureEngine compression: ENABLED Anti-File Monitor: ENABLED Anti-Registry Monitor: ENABLED Delphi/BCB form protection: ENABLED Virtual Machine Settings ------------------------ Number of Virtual APIs wrapped: 0 API Virtualization Level: 10 Entry Point Virtualization: 15 instructions Multi Branch Technology: DISABLED Virtual Machine Processor: Mutable CISC processor Number of CPUs: 1 Opcode Type: Metamorphic - Level 2 Dynamic Opcode: 20% Dynamic Advanced Protection Options --------------------------- Encrypt Application: ENABLED DLL plugin: DISABLED Hide from PE scanners: Standard .NET assemblies: ENABLED Active Context: DISABLED Add Manifest: Don't add manifest XBundler files -------------- No files to bundle 2009-9-11 00:34 0
hxqlky 雪币： 218 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 27 回帖 156 粉丝 0 关注私信	hxqlky 4 楼 file1 http://www.plunder.com/Themida-2-1-0-0-Unpackme-download-9dd39fa3f8.htm http://www.filefront.com/14505031/Themida-2.1.0.0-Unpackme.rar/ file2 file3 http://filebeam.com/8d78a06cfce91ac3ef38752a13119431 Themida 2.1.0.0 Unpackme 2009-9-11 01:02 0
xieyuzhe 雪币： 337 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 119 粉丝 0 关注私信	xieyuzhe 5 楼 00406014 B8 00000000 mov eax,0 00406019 60 pushad 0040601A 0BC0 or eax,eax 我OD载入入口怎么在这里？ 2009-9-11 01:09 0
hxqlky 雪币： 218 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 27 回帖 156 粉丝 0 关注私信	hxqlky 6 楼会停在在这里正常啊00406014 B8 00000000 mov eax,0 2009-9-11 01:20 0
piliwangzi 雪币： 259 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 12 粉丝 0 关注私信	piliwangzi 7 楼请问winlinsece 1.8.5.5 的壳去除注册号，有什么思路？ 2009-9-11 08:23 0
ucantseeme 雪币： 442 活跃值： (43) 能力值： ( LV2，RANK：10 ) 在线值：发帖 46 回帖 990 粉丝 1 关注私信	ucantseeme 8 楼例子程序能不能不用VB 2009-9-15 15:17 0
孤行有你雪币： 255 活跃值： (37) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 250 粉丝 0 关注私信	孤行有你 9 楼看见HXQlky 的图我眼晕，，麻烦换一个头像吧。。 2009-9-15 17:27 0
luckxiao 雪币： 279 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 284 粉丝 1 关注私信	luckxiao 10 楼 VB程序天生残缺，强壳放在它身上就大打折扣 2009-9-24 11:59 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复