对themida(1.8.5.5)加密VC++程序的完美脱壳

最新推荐文章于 2023-04-25 12:27:10 发布
最新推荐文章于 2023-04-25 12:27:10 发布
阅读量2.5k 收藏
点赞数
文章标签: 加密 vc++ 脚本 api c delphi
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iiprogram/article/details/2793364
版权
 --------------------------------------------------------------------------------
【详细过程】
       我经过探索实现了对Themida(1.8.5.5版)加密VC++程序的完美脱壳.如果文中的方法只适用于这个特例,则本文就毫无价值....,我把我的方法提供给大家研究,对象是想升级的菜鸟们,请高手不要嘲笑我对脚本或程序的详细注释.
  
       一.脱壳思路
      Themida是一款强大的加密加壳工具,特别是1.8.5.5版,它破坏了程序的入口代码并用一段壳代码取代了它,根本模糊了OEP界线.要么脱壳不完全,要么进不了程序代码(菜鸟的肤浅认识).但Themida也暴露出了它自身的弱点:
      1.它对入口代码的破坏一般只有几十个字节,对一些固定模式的入口程序,如VC++,VB,Delphi等入口的发现和修复还是比较容易的.Themida对它不熟习的入口代码则脱壳后原样不变!这时,OEP就清晰了.
      2.和所有的加壳软件一样,Themida也只能在现场获取API地址,经加密后再写入程序代码中.正确的API地址一定会在某个寄存器中瞬间出现,这就暴露了它加密的蛛丝马迹,捕获在themida代码中出现API地址的代码段就成为了脱壳的突破口.
      3.任何程序运行完成后都会"返回到kernel32.7C816FD"(菜鸟的肤浅认识).因此当堆栈顶是"返回到kernel32.7C816FD"时,是从壳代码进入程序代码的重要标志.
      我就是抓住以上三点作为突破口实现了对Themida(1.8.5.5)版的完美脱壳.
       二.脱壳脚本的说明(测试程序和脚本见附件)
  --------------------------------------------------------
       完整的脱壳脚本:(ODbgScript 1.65.1.0版   OllyDBG 1.0.10.0版)
  data:
    var mem
    var mem1
    var temIAT
    var temESI
    var temAPI
    var APIstr
  
    bphwc
      
  start:  
    esto
    esto
    bphws 65d270,"w"
  
  reset: 
    esto 
    cmp [65d270],5ec103ad  //判断加密段代码是否出现
    jnz reset  
    bphwc 65d270
  
    bphws 65d992,"x"
      
  step:
    esto              //断点65d992 
    bphwc 
    cmp eip,65d273  //以API函数名装载方式则跳
    jz  step6
    cmp eip,65e1c8        //准备退出
    jz  step5
            //----以序列号方式装载则进入-------
    or  edx,80000000
    mov [eax],edx        //修复IAT表(写入序列号)
    mov temIAT,eax        //保存IAT地址
    bphws 65d9a0,"x"
    
  step2:
    esto              //断点65d9a0
    bphwc  
    cmp eax,FFFFFFFF      //判断当前函数是否加密新的地址
    jnz next
    bphws 65d992,"x"
    bphws 65d273,"x"
    bphws 65e1c8,"x"
    jmp step
  next:
    bphws 65d9d2,"x"  
  
    esto                  //断点65d9d2
    bphwc  
    mov mem1,eax          //eax是内存中呼叫API的地址
    mov temESI,[esi]      //获取转跳标记
    bphws 65da7c,"x"
  
    esto              //断点65da7c
    bphwc 65da7c
   
    cmp temESI,AAAAAAAA
    jnz step3
    mov [mem1],#FF25#      //修复代码中转跳地址
    mov [mem1+2],temIAT 
    bphws 65d9a0,"x" 
    jmp step2
  
  step3:
    mov [mem1],#FF15#      //修复代码中呼叫地址
    mov [mem1+2],temIAT
    bphws 65d9a0,"x"
    jmp step2
    
    
  step5:
    bphwc
  
  //---完善INT表,插入库函数名----- 
    add APIstr,"   MFC42D.dll MFCO42D.dll MSVCRTD.dll KERNEL32.dll"    //MFC42D前加4个空格
    mov [410000],APIstr   
  //--写入平衡堆栈,入口地址和跳出壳的代码                      
    mov [65e1cf],#83C44CB8902E400050C3#
  //--恢复应用程序入口代码
    mov [402e90],#558BEC6AFF687068410068F830400064A100000000506489250000000083C4945356578965E8C745FC000000006A02#
    sti
    sti
    sti
    sti
    sti
    pause            //成功脱壳,然后Dump,稍加修改PE头后,程序正常运行.
  
          //-----以函数名方式装载的进入---------
  step6:
    mov temAPI,eax     //eax 是API函数地址
    gn temAPI 
最低0.47元/天 解锁文章
iiprogram
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【P3】最强渗透工具 - metasploit(安装配置及使用教程详解)
qq_45138120的博客
06-23 7408
包括 metasploit 是什么?、metasploit 攻击 windows 操作系统、metasploit 攻击永恒之蓝全流程、使用 Kali 渗透工具生成远控木马、metasploit 攻击示例、msfvenom 绕过杀毒软件技巧之捆绑木马、msfvenom 绕过杀毒软件技巧之加壳、windows 下安装 ThemidaThemida 使用教程。
themida哪里下载
weixin_35748962的博客
12-29 1419
Themida是一款用于保护软件的反编译软件,它可以有效地防止软件被反编译和恶意修改。 如果您想下载Themida,可以在官方网站上获取最新版本:https://www.oreans.com/themida.php。 请注意,Themida是一款商业软件,您需要购买许可才能使用它。在使用Themida之前,请仔细阅读其许可协议并确保您遵守其条款。 ...
Themida / Winlicense (TM / WL)脱壳总结,Themida脱壳,Winlicense脱壳各个版本区别总结
热门推荐
zhw309的专栏
04-23 2万+
个人总结,不一定十分准确,请勿引用! (一), Themida和不用license的Winlicense脱壳就不说了,直接上脚本脱壳。   (二), 先看看不同版本OEP的一些小特征: 2.1.X.X版本之后的OEP特征(2.0.8.0,2.1.0.10,2.1.3.32等)   2.1版本之前的OEP特征,如(2.0.3.0,1.8.2.0,1.885等):   Te
软件加密系统Themida应用程序保护指南(九):通过命令行进行保护
励志做最业余的专业博主,控件产品可以私我~
11-11 997
要将控制台的输出重定向到一个文件,必须使用一个额外的参数,以避免Themida将自己连接到当前控制台,之后,你可以使用常见的输出重定向。要使用的参数是/shareconsole。从攻击者的角度来看,Themida与传统的软件保护器完全不同,这是因为其复杂的保护引擎和高优先级的代码,可以针对可能的攻击者对整个系统进行监督。在这之后,Themida用户界面将出现您的项目文件中包含的所有信息,并准备好保护您的应用程序。下面的例子显示了一个BAT文件,它可以包含在你的构建系统中,通过命令行保护你的应用程序
软件加密系统Themida应用程序保护指南(十):高级选项
励志做最业余的专业博主,控件产品可以私我~
11-14 913
这些选项不是公开可用的,因为如果我们显示所有当前可用的选项,它们将使开发人员感到困惑,这些选项与安全性无关,并且大多数应用程序几乎不使用。从攻击者的角度来看,Themida与传统的软件保护器完全不同,这是因为其复杂的保护引擎和高优先级的代码,可以针对可能的攻击者对整个系统进行监督。是先进的Windows软件保护系统,它被用于满足软件开发人员对于所开发应用程序安全保护的需求,使其远离被先进的逆向工程和软件破解的危险。为了添加新的高级选项,只需右键单击“高级选项”面板,然后选择“添加”。
Themida WinLicense V1.8.X-V2.X最佳脱壳工具
11-07
Themida WinLicense V1.8.X-V2.X最佳脱壳工具 可以使用
Themida/WinLicense V1.8.X-V1.9.X自动脱壳
12-19
Themida/WinLicense V1.8.X-V1.9.X自动脱壳
程序加密保护工具 Themida 2.3.9.0 中文多语免费版.zip
05-16
在每一个受保护的应用程序中应用不同的加密算法和密钥。 可避免原始导入列表的重建的Anti-API scanners技术。 目标应用程序的自动反向编辑和加扰技术。 特定代码块的虚拟机模拟。 先进的赋值引擎。 拥有保护层的SDK...
Themida脱壳.rar
07-20
Themida脱壳脚本:https://www.52pojie.cn/thread-290732-1-1.html
软件保护器:Themida 3.1.14 Crack
控件与插件之大全
04-25 1063
Themida软件保护器的主要问题是它们使用破解者熟知的保护技术,因此可以使用传统的破解工具轻松绕过它们。软件保护器的另一个重要问题是它们限制了操作系统的执行,也就是说,它们以正常的应用程序权限运行。因此,攻击者可以使用以与操作系统相同的优先级运行的破解工具,从而允许他们完全监督软件保护程序在特定时间正在做什么,并在特定位置对其进行攻击。
Themida & WinLicen 系列脱壳脚本【新】
05-07
Themida & WinLicen 1.1.X - 1.8.X 系列脱壳脚本.osc Themida & WinLicen 1.9.1 - 1.9.5 系列脱壳脚本.osc ThemidaScript.for.V1.9.10+.0.4.By.fxyang.oSc THEMIDA脚本(for IAT restore).osc TMDScript-1.9.1+_1.0 final_修正集成版.osc Themida脱壳脚本增强版.osc TMDScript-1.9.1+_1.0final.osc TMDScript-1.9.1+_private_0.7.osc TMD版本查询.osc tmd全系列iat修复.osc
themida脱壳脚本
11-21
themida脱壳脚本Themida_WinLicense_v1[1].1x-v1.9x脱壳脚本
antimida_1.0_themida_unpacker_
09-28
Antimida themida unpacker 1.0
OD隐藏插件脱themida
04-07
OD隐藏插件,脱themida用的用Themida1.9.1.0版加密的软件,有很强的反anti能力,在OD v1.10版上不能运行。请在bbc.pediy.com的精华篇中下载okdodo的插件“invisible.dll”,添加到OD文件夹的plugin中,并删除HideOD.dll(或改名为 HideOD.dll.bak)。这样Themida v1.9.1.0加密的软件就可以在OD中运行了
【问题】APK脱壳-反编译-修改-修复-运行
古月大仙的博客
03-10 3014
这是我第一次使用CSDN博客,互联网资源真的很丰富。在这里记录下自己经历的问题和解决办法。方便自己也共享他人。第一次,给个鼓励吧! 脱壳 关于drizzleDumper(安卓脱壳工具)给新手的教程 ...
免于被反向工程破解的程序保护系统-Themida
软件工程 plus 人工智能
09-01 1383
Themida  Themida拥有高级保护功能以及注册管制。它提供了最强和具伸缩性的技术,使开发者可以安全地分发他们软件的试用版和完全版。  介绍  Themida是一个强劲的保护系统, 专为了那些想保护自己的程式不被先进的反向工程和黑客软件破解的软件开发者而开发的。开发者不需要更改任何的原代码,和不需要程式编制的经验使用WinLicense。  Themida使用SecureEngine&re
软件破解脱壳
溪风的专栏
07-24 3523
什么是脱壳技术?在一些电脑软件里有一段专门负责保护软件不被非法修改或反编译的程序。它们一般都是先于程序运行拿到控制权,然后完成它们保护软件的任务。就像动植物的壳一般都是在身体外面一样理所当然(但后来也出现了所谓的“壳中带籽”的壳)。由于这段程序和自然界的壳在功能上有很多相同的地方,基于命名的规则,大家就把这样的程序称为“壳”了。就像电脑病毒和自然界的病毒一样,其实都是命名上的方法罢了。从功能上抽象
学习fly脱Themida的文章,简单写一个脚本练手
visionfans的专栏
04-25 2058
同学有个Themida程序要逆,这两天看了看TMD的脱壳教程,针对fly的文章[1 ]写了一个OD脚本,学习OD脚本的一个练手测试,不通用。// // Themida V1.1.1.0.Test.eXe 脱壳脚本 // Patch IAT and Arrive OEP // by visionfans @ 2011.04.18 // var gPatchAddr var gPatchOpcode // 清除所有断点 bphwc bc // 分配内存,打补丁时计算op
Themida怎么给程序加壳,程序文件后缀是什么格式的?
最新发布
06-10
要给程序加上Themida壳,你需要按照以下步骤进行操作: 1. 下载并安装Themida软件。 2. 打开Themida软件,点击“加壳”按钮。 3. 选择要加壳的程序文件,文件格式可以是EXE、DLL、SCR等Windows可执行文件格式。 4. 在弹出的“加壳选项”窗口中,选择你想要的加壳选项,比如加密、混淆、反调试等。 5. 点击“加壳”按钮,Themida会自动将选定的程序文件加上壳。 6. 加壳完成后,你可以在Themida中使用调试器来检查程序文件是否正常运行。 需要注意的是,加上Themida壳的程序文件会变成一个新的可执行文件,文件名后缀通常是“.exe”。为了保证程序的正常运行,你需要在加壳之前备份原始程序文件,并在加壳后进行测试和调试。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值