TMD/WL (Themida / Winlicense ) SDK VM的解决方案 (应用篇,非引擎分析)

最新推荐文章于 2023-04-25 12:27:10 发布
最新推荐文章于 2023-04-25 12:27:10 发布
阅读量6.8k 收藏 1
点赞数
分类专栏: 逆向工程 Winlicense脱壳 Themida脱壳 文章标签: 引擎 虚拟机 reference 破解 c api
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhw309/article/details/7563446
版权

Themida / Winlicense脱壳后,在以下几种情况可能需要对SDK  VM 进行处理。

1,程序分析需要。

2,由于最新版本anti-dump原因,有可能导致脱壳后的程序不能运行。

3,需要减小程序体积,删去TMD/WL壳区段。

 

TMD/WL VM的两种常见方式,

1,JMP 方式

在程序中很容易找到

jmp aaaaaaaa

aaaaaaaa:  

push key

JMP vm_start

2,非jmp方式,如call XXXXXXXX。

 

TMD/WL VM的虚拟机出入口的一般方式:

push key
Jmp Vm_Start   进入虚拟机

00514835    9C                 pushfd                          ; Vm_Start  虚拟机入口


00519518    311C24             xor dword ptr ss:[esp],ebx
0051951B    331C24             xor ebx,dword ptr ss:[esp]
0051951E    8B2424             mov esp,dword ptr ss:[esp]
00519521    61                 popad
00519522    9D                 popfd
00519523    C3                 retn                            ;Vm_Retn    虚拟机出口

 

在虚拟机出口处可以得到返回的地址,如VM的API函数等:

popad
popfd
retn  

 

Un VM步骤:

1,在OD的CPU窗口上 右键---选择find reference
2,在出现的reference窗口上选择要VM的jmp / call。
3,右键---选择UnVirtualizer with jump / no jump.
4,点确定。
5,再次 右键---选择UnVirtualizer with jump,此时会弹出一个文本窗口,查找

POP ESP
或者
MOV ESP, DWORD PTR SS:[ESP]
或者
MOV ESP,DWORD PTR [ESP]
或者
ADD ESP,0x4

一般从最后面往上找起,如找到
 00C27B02 POP EAX
 00C27B0D POP ESP
 00C27B13 MOV ECX,DWORD PTR [EBP+0xfffffff0]
 00C27B70 CMP DWORD PTR [ECX+0xfffffff8],EDI

那么,在弹出的窗口中输入00C27B13这个地址,点确定即可。

6,如何确认unVM的数据是否正确:
A,根据unVM后的最后一个数据JMP是否为(EB 10).或EB 11等,即最后面这个JUMP是短距离的往后跳,如果是跳到前面那说明unVM的

数据太多了。
B,只能根据上下文来判断。

以上过程如有补充或疑问,可问QQ: 9112627, 对软件破解、Winlicense脱壳,Zprotect脱壳,NP过校验,网络验证破解等有一定的研究。

 

 

 

 

 

zhw309
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Themida v1.8.0.0 Demo虚拟机分析(Part1-Part8) by softworm
06-03
softworm写的Themida v1.8.0.0 Demo虚拟机分析,part1至part8,来源于pediy,只是将其合并成一个pdf而已,方便大家阅读
解决Themida程序在VMware虚拟机无法运行问题_HS_TMD
weixin_30294295的博客
08-23 527
标 题: 解决Themida程序在VMware虚拟机无法运行问题作 者: Y4ng时 间: 2012-08-23 12:32:13 星期四链 接:http://www.cnblogs.com/Y4ng/archive/2012/08/23/tmd_vmware_hs_TheMida.html 在调试韩国某游戏HS保护的时候,由于主程序被加了TMD(TheMida),根本就没法在虚...
软件保护器:Themida 3.1.14 Crack
控件与插件之大全
04-25 1067
Themida软件保护器的主要问题是它们使用破解者熟知的保护技术,因此可以使用传统的破解工具轻松绕过它们。软件保护器的另一个重要问题是它们限制了操作系统的执行,也就是说,它们以正常的应用程序权限运行。因此,攻击者可以使用以与操作系统相同的优先级运行的破解工具,从而允许他们完全监督软件保护程序在特定时间正在做什么,并在特定位置对其进行攻击。
Which Macros should I use? ThemidaSDK中应该怎么使用各种宏?
aojiansu7578的博客
08-10 446
原文: It is normal that a programmer feel lost when deciding which macros he/she should use. Here we try to clarify that decision for you. · VM macros and CodeReplace macros are the strongest one...
Themida(强大的软件加密程序) v2.2.9.0中文破解
04-23
在国内软件行业环境混乱,基本上有点优秀的商业软件大部份都会被破解,有许多开发者为了保护自已的软件不被破解,使用很多复杂的加密算法,这样花费了很多精力。今天我为大家推荐一款软件Themida ,它是一个常强大的软件加密保护系统,专门是为了那些想保护自己的软件不被先进的反向工程和黑客软件破解的开发者而设计的。开发者不需要更改任何的源代码就可以使用Themida轻松的将自已的软件进行加密,防止被黑客轻易破解Themida使用SecureEngine的保护技术。它能够以最高的优先等级运行,这些保护技巧是从来都没在电脑防御技术领域出现过,Themida能在最大程度地保护你的软件产品。特别适合保护.net程序。 Themida的一些最重要的注册保护措施特点 1、可以创建用来延长试用版本的有效期的特别码。 2、一个用来储藏试用 状态的 强劲的引擎,以避免任何软件破解者尝试重置有效期。可以13、为个别开发者的需要创建不同的注册码。 4、针对特定国家的试用锁定和注册码。 5、机器锁定,使程式只运行在特定的电脑上。 6、自定的试用计算器来控制你试用版本的有效资源。 7、为试用版本和完全版本制定独立的密码。 8、可以使用外部 Themida DLL 来创建你自己的自动化系统。 9、超过 50 种不同函数的完整 SDK 。 10、为试用版和完全版提供 .NET SDK 支援。 11、使用数据库来安全地储存你所有的软件,客户和注册资料。 13、自定义所有的试用 / 注册讯息,也控制是否要展示特定的试用 / 注册讯息 重要提示(设置中文方法): Advanced Options--->localization--->选择simple_chinese.lng
tmd.rar_Themida 1.2.0.1_Themida/Winlicense_WinLicense_themida_tm
09-20
Themida/Winlicense version 1.x/2.x dumper/fixer.v2.6.0
Themida Winlicense不用修复VM_OEP脱教程.rar
03-28
Themida Winlicense教程 视频 TMD/WL入口点查找方法 1. .text段下内存写入断点,shift+F9,取消内存断点. 2. bp GetProcessHeap+C,F9,取消断点. 3. .text段下F2断点,F9到oep或者oep的第一个call里面的位置. ...
TheMida - WinLicense(TM / WL) 脚本汇总
07-11
TheMida - WinLicense(TM / WL) 查看加版本, TheMida - WinLicense(TM / WL) 对应版本脱TheMida - WinLicense(TM / WL) 机器码补丁(HWID PATCH), 具体说明和使用方法见本人博客: ...
Themida - Winlicense Ultra Unpacker 脱教程
最新发布
05-08
脚本(Themida - Winlicense Ultra Unpacker 1.4) 2. 查软件ExeinfoPE 3. 其要用的插件有:ODbgScript、PhantOm、StorngOD,这些插件我已经在压缩包里面准备好了,请大家尽情享用。 4. 还有一点要叮嘱的就是...
Themida - Winlicense Ultra Unpacker 1.4.rar_C7X_Unpack_WinLicens
07-14
Themida Unpack Script 2
Themida WinLicense V1.8.X-V2.X最佳脱工具
11-07
Themida WinLicense V1.8.X-V2.X最佳脱工具 可以使用
WinLicense多种授权生成器C#版
04-05
WinLicense多种授权生成器C#版,情况我就不多说,知道的朋友请下载!
Themida 2.4.6.30 x32 / x64
01-25
Themida 2.4.6.30 x32 / x64 Themida Order Manager (Activated) ThemidaSDK (Activated) Themida XBundler (Activated)
SDK License
01-10
ROS SDK LISENSE Add gtest based cpp test target and link libraries # catkin_add_gtest(${PROJECT_NAME}-test test/test_person_id.cpp) # if(TARGET ${PROJECT_NAME}-test) # target_link_libraries(${PROJECT_NAME}-test ${PROJECT_NAME}) # endif() ## Add folders to be run by python nosetests # catkin_add_nosetests(test)
Themida/WinLicense3.0 IAT修复脚本(x64)(x64dbg)
Lixinist的博客
03-28 4806
不知道rafael在干什么,3.0的完全是倒退。。。 3.0的TM/WL没有混淆iat call,还把API代码抽取给删了。API出现的特征代码也不见得加强了多少     修iat最难的就是 1.定位API出现的时机 2.识别并还原iat call   这里第2难点由于3.0没有混淆iat call,所以不存在。想学习的请看这文章及其脚本(用x64dbg单步走脚本...
软件加密系统Themida应用程序保护指南(四):虚拟机的选择
励志做最业余的专业博主,控件产品可以私我~
11-04 2403
每个被保护的实例都包含一个独特的 TIGER 虚拟机,它的寄存器、指令处理程序、操作码表等都与前一个实例不同,只是共享 TIGER 架构的内部骨架。从攻击者的角度来看,Themida与传统的软件保护器完全不同,这是因为其复杂的保护引擎和高优先级的代码,可以针对可能的攻击者对整个系统进行监督。即使使用相同的架构名称,生成的虚拟机也会包含不同的寄存器位置、不同的处理程序、不同的操作码表等。当您为给定的虚拟机插入多个CPU时,一些保护代码和您的虚拟机宏将与任何生成的CPU一起被虚拟化。
Themida / Winlicense (TM / WL)脱总结,ThemidaWinlicense各个版本区别总结
热门推荐
zhw309的专栏
04-23 2万+
个人总结,不一定十分准确,请勿引用! (一), Themida和不用licenseWinlicense就不说了,直接上脚本脱。   (二), 先看看不同版本OEP的一些小特征: 2.1.X.X版本之后的OEP特征(2.0.8.0,2.1.0.10,2.1.3.32等)   2.1版本之前的OEP特征,如(2.0.3.0,1.8.2.0,1.885等):   Te
解决WinlicenseSDK二次开发Visual Studio项目DLL引用问题
junqiyu的博客
04-06 1843
本文介绍Winlicense项目dll引用遇到的问题,以及解决问题的过程记录。
winlicense
10-01
WinLicense是一个强大的保护系统,专为希望保护其应用程序免受高级逆向工程和软件分区的软件开发人员而设计。它提供了广泛的选择和功能来为应用程序创建试用版和注册版。开发者可以通过与WinLicense的完整SDK进行...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值