Themida/WinLicense.V1.8.2.0 的Anit OllyDBG新方法

最新推荐文章于 2020-03-28 22:09:20 发布
最新推荐文章于 2020-03-28 22:09:20 发布
阅读量3.2k 收藏
点赞数
文章标签: 汇编 byte db2 工具 破解 引擎

 

Themida/WinLicense 最近一直很努力
自从Themida/WinLicense.V1.1.1.0放弃驱动后,Themida/WinLicense的Anti仿佛一下子就没了。
但是自Themida/WinLicense.V1.8.0.0,Oreans Technologies新增了HeapMagic检测,这个Anti方法目前还未见公开。
Themida/WinLicense.V1.8.2.0,Oreans Technologies利用了OllyDBG未公开的一个浮点指令漏洞来使得OllyDBG崩溃。

下面借助例子来简单说明一下Themida/WinLicense.V1.8.2.0利用的这个OllyDBG漏洞




 

 

CODE:
MorGain结构快速设计安装程序.V2006.10.Revison.1571
http://www.morgain.com/download.htm
没发现其他新版加壳的小例子,所以借用这个
设置OllyDBG暂停在WinMain,载入HiDesign.exe,OllyDBG莫名其妙就自动退出了
设置OllyDBG暂停在系统断点,可以载入了,但是跟随入口后OllyDBG又自动退出了

可以用Hiew等工具观察一下HiDesign.exe的EP处代码

CODE:
00740014     B8 00000000        mov eax,0
00740019     60                 pushad
0074001A     0BC0               or eax,eax
0074001C     74 68              je short 00740086
0074001E     E8 00000000        call 00740023
00740023     58                 pop eax
00740024     05 53000000        add eax,53
00740029     8038 E9            cmp byte ptr ds:[eax],0E9
0074002C     75 13              jnz short 00740041
0074002E     61                 popad
0074002F     EB 45              jmp short 00740076
00740031     DB2D 37007400      fld tbyte ptr ds:[740037]
00740037     FFFF               ???
00740039     FFFF               ???
0074003B     FFFF               ???
0074003D     FFFF               ???
0074003F     3D 40E80000        cmp eax,0E840
00740044     0000               add byte ptr ds:[eax],al
00740046     58                 pop eax
00740047     25 00F0FFFF        and eax,FFFFF000

00740041处其实是:
00740041     E8 00000000        call 00740046
00740046     58                 pop eax
00740047     25 00F0FFFF        and eax,FFFFF000
再看一下Themida/WinLicense以前版本的入口代码:

CODE:
007F8014     B8 00000000        mov eax,0
007F8019     60                 pushad
007F801A     0BC0               or eax,eax
007F801C     74 58              je short 007F8076
007F801E     E8 00000000        call 007F8023
007F8023     58                 pop eax
007F8024     05 43000000        add eax,43
007F8029     8038 E9            cmp byte ptr ds:[eax],0E9
007F802C     75 03              jnz short 007F8031
007F802E     61                 popad
007F802F     EB 35              jmp short 007F8066
007F8031     E8 00000000        call 007F8036
007F8036     58                 pop eax
007F8037     25 00F0FFFF        and eax,FFFFF000
Themida/WinLicense.V1.8.2.0 入口代码与之前版本的多了以下部分:

CODE:
00740031     DB2D 37007400      fld tbyte ptr ds:[740037]
00740037     FFFF               ???
00740039     FFFF               ???
0074003B     FFFF               ???
0074003D     FFFF               ???
0074003F     3D 40E80000        cmp eax,0E840
00740031     DB2D 37007400      fld tbyte ptr ds:[740037]
注意[740037]处10个字节:

CODE:
00740037  FF FF FF FF FF FF FF FF 3D 40
浮点数:9.2233720368547758080e+18
OllyDBG目前最新V1.10版本处理此浮点数会崩溃!

我们只要在代码中构造一个如此的浮点指令陷阱,当OllyDBG V1.10反汇编至此时就会中招而崩溃退出

QUOTE:
OllyDBG V1.10 反汇编浮点指令陷阱:

fld tbyte ptr ds:[XXXXXXXX]
在[XXXXXXXX]处写入FF FF FF FF FF FF FF FF 3D 40


QUOTE:
解决方案:

1、期待OllyDBG新版修正此bug
2、在OllyDBG V1.10调试前使用其他16进制工具修改掉[XXXXXXXX]中FF FF FF FF FF FF FF FF 3D 40数据,把其中的某位数据修改为任一其他值即可
3、设置OllyDBG暂停在系统断点,在数据窗口中Ctrl+G:XXXXXXXX处,修改[XXXXXXXX]中FF FF FF FF FF FF FF FF 3D 40中任一数据为其他值
4、修改OllyDBG V1.10的反汇编引擎,避开此浮点指令陷阱
以第三个方案操作最简单
Thanks:shoooo、heXer
Game Over
_____________________________________________________________
         ,     _/
        /| _.-~/            /_     ,        青春都一晌
       ( /~   /              /~-._ |/
       `//  _/                /   ~/ )          忍把浮名
   _-~~~-.)  )__/;;,.          /_  //'
  /'_,/   --~   / ~~~-  ,;;/___(  (.-~~~-.        换了破解轻狂
`~ _( ,_..--/ (     ,;'' /    ~--   /._`/
  /~~//'   /' `~/         ) /--.._, )_  `~
  "  `~"  "      `"      /~'`/    `//~~/   
                         "     "   "~'  ""
   
                  By :  fly
             http://www.unpack.cn
               2006-10-12 24:00

一蓑烟雨……任平生!
向fly等牛人学习!

Fuwa_2008
关注
Themida/Winlicense 自动脱壳机 v1.0
01-15
Themida/Winlicense 自动脱壳机 v1.0自动脱Themida/Winlicense加的壳
Themida/WinLicense V1.8.2.0 +脱壳 FOR PcShare远程控制会员版本20070826
09-26 8322
【文章作者】: 冰橙子【详细过程】今天拿到PcShare远程控制会员版本20070826,看看说明一、加了插默认浏览器的功能二、重修改了文件下载,一目了然,肉机不上线也可以管理。三、加了窗口管理的功能、四、加了群发消息的功能五、加了强制肉机访问网页的功能六、增加代理(不完善测试阶段)七、增加了记录系统登录密码功能看着看着 就想破解,说干就干,不管是不是菜鸟,还是先查壳把,  用PEID查壳: T
【FAQ】软件保护系统Themida常见问题集锦(一)—ThemidaWinLicense有什么区别?...
weixin_33696106的博客
05-28 362
Themida是先进的Windows软件保护系统,它被用于满足软件开发人员对于所开发应用程序安全保护的需求,使其远离被先进的逆向工程和软件的危险。 通过Themida,我们集中在软件保护器所具有的主要弱点,从而提供了解决这些问题的完整解决方案。Themida使用SecureEngine®保护技术,当...
Themida / Winlicense (TM / WL)脱壳总结,Themida脱壳,Winlicense脱壳各个版本区别总结
热门推荐
zhw309的专栏
04-23 2万+
个人总结,不一定十分准确,请勿引用! (一), Themida和不用licenseWinlicense脱壳就不说了,直接上脚本脱壳。   (二), 先看看不同版本OEP的一些小特征: 2.1.X.X版本之后的OEP特征(2.0.8.0,2.1.0.10,2.1.3.32等)   2.1版本之前的OEP特征,如(2.0.3.0,1.8.2.0,1.885等):   Te
Themida/WinLicense自动脱壳机
05-17
Themida/WinLicense 自动脱壳机
Themida WinLicense V1.8.X-V2.X最佳脱壳工具
11-07
Themida WinLicense V1.8.X-V2.X最佳脱壳工具 可以使用
Themida/WinLicense V1.8.2.0 脱壳 工具
03-05
Themida/WinLicense V1.8.2.0 脱壳 工具
Themida/Winlicense version 1.x/2.x dumperfixer
12-10
// Themida/Winlicense version 1.x/2.x dumper/fixer by Seek n Destroy // // The script is XP only, VISTA has a different stack antidump. // // // If you don't use VM (heap & stack) antidump ...
Themida/WinLicense V1.8.X-V1.9.X自动脱壳机
12-19
Themida/WinLicense V1.8.X-V1.9.X自动脱壳机
Themida - Winlicense Ultra Unpacker 脱壳教程
最新发布
05-08
脱壳脚本(Themida - Winlicense Ultra Unpacker 1.4) 2. 查壳软件ExeinfoPE 3. 其要用的插件有:ODbgScript、PhantOm、StorngOD,这些插件我已经在压缩包里面准备好了,请大家尽情享用。 4. 还有一点要叮嘱的就是...
Themida - Winlicense Ultra Unpacker 1.4
01-12
转载Themida & WinLicense 2.0 - 2.4.6 脱壳需要的脚本 参考链接https://bbs.pediy.com/thread-255174.htm
经验证可以调试Themida/WL2.1.0.10的Ollydbg 2009
07-01
经验证可以调试Themida/WL2.1.0.10的Ollydbg 2009
Winlicense_2[1].1.3.32.
06-27
Winlicense_2[1].1.3.32.
Themida v1.8.0.0 Demo虚拟机分析(Part1-Part8) by softworm
06-03
softworm写的Themida v1.8.0.0 Demo虚拟机分析,part1至part8,来源于pediy,只是将其合并成一个pdf而已,方便大家阅读
Themida/WinLicense3.0 IAT修复脚本(x64)(x64dbg)
Lixinist的博客
03-28 5056
不知道rafael在干什么,3.0的壳完全是倒退。。。 3.0的TM/WL没有混淆iat call,还把API代码抽取给删了。API出现的特征代码也不见得加强了多少     修iat最难的就是 1.定位API出现的时机 2.识别并还原iat call   这里第2难点由于3.0没有混淆iat call,所以不存在。想学习的请看这篇文章及其脚本(用x64dbg单步走脚本...
Themida / Winlicense (TM / WL)脱壳总结
zhw309的专栏
07-11 6405
<br />     总体感觉Themida / Winlicense 壳的强度会比ZP强些(呵呵,个人看法,别拍砖),但是再猛的壳也经不过时间的蹉跎,毕竟一个加壳程序放出来后它是死的,经过反复的研究和比较最终会知道它里面的奥秘。<br />     总结下Themida / Winlicense (TM /  WL) 的脱壳方法。<br />    1, 查看壳版本,这个方法手动也可以,因为这个壳的版本号是写在程序里面的,在解压后下断点即可查看,这里有通用的脚本,我就不再罗嗦了,跟着脚本学吧,使用方法很简
Themida / Winlicense (TM / WL)脱壳各个版本区别总结
weixin_33921089的博客
10-18 856
以下仅为个人总结,不一定十分准确,请勿引用! (一), Themida和不用licenseWinlicense脱壳就不说了,直接上脚本脱壳。 (二), 先看看不同版本OEP的一些小特征: 2.1.X.X版本之后的OEP特征(2.0.8.0,2.1.0.10,2.1.3.32等) 2.1版本之前的OEP特征,如(2.0.3.0,1.8.2.0,1...
Themida WinLicense免费下载脱壳使用教程功能介绍大全
04-29 4191
Themida是先进的微软视窗软件保护系统,专为了那WinLicense 结合了 Themida 保护功能以及高级注册管制。它提供了最强和具伸缩性的技术,使开发者可以安全地分发他们软件的试用版和完全版。 具体功能: 作为软件保护层的WinLicense WinLicense是一个强劲的保护系统, 专为了那些想保护自己的程序不被先进的反向工程和黑客软件破解的软件开发者而开发的。开发
WinLicense&Themida 2019革命性升级,软件加密后破解难度突破天际
mnrssj的博客
09-17 2393
随着软件普及程度、互联网技术的发展,以及正版软件购买用户数量和软件版本的增加,软件的保护变得越来越重要。而我们常见的软件保护方式有软件授权和软件加密。Oreans是西班牙非常著名的软件系统保护公司,提供代码混淆,版本控制等多种工具。 其中WinLicenseThemida和Code Virtualizer软件保护产品备受广大用户的青睐。随着Oreans的技术升级,三款保护软件也迎来了久违的版本升...
Themida64下载
07-28
- *1* *3* [Themida/WinLicense3.0 IAT修复脚本(x64)(x64dbg)](https://blog.csdn.net/qq_15059515/article/details/105168973)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值