winlicense/TMD脱壳----私募牛股预警系统 脱壳

最新推荐文章于 2020-01-25 14:34:16 发布
最新推荐文章于 2020-01-25 14:34:16 发布
阅读量6.1k 收藏
点赞数
分类专栏: Winlicense VM解密 Themida脱壳 Winlicense SDK加密 Winlicense SDK Winlicense脱壳 文章标签: patch 破解 c
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhw309/article/details/7899942
版权

私募牛股预警系统

不得不说,这个Winlicense加的还是挺全面的。

未破解时,打开加壳文件smng-license.exe:

试用版本,7天的试用期。

 

很显然,有两种过注册思路,一个是脱壳,一个就是PATCH   cmp ecx,eax.

脱壳的话,有可能WIN7下用不了,PATCH的话呢,补丁做得好的话是通用的。

 

OEP停在这里:

00689D0A  |.  6A 02         push    2
00689D0C  |.  FF15 A0626A00 call    dword ptr [<&msvcrt.__set_app_ty>;  msvcrt.__set_app_type
00689D12  |.  59            pop     ecx
00689D13  |.  830D 909EAB00>or      dword ptr [AB9E90], FFFFFFFF
00689D1A  |.  830D 949EAB00>or      dword ptr [AB9E94], FFFFFFFF
00689D21  |.  FF15 9C626A00 call    dword ptr [<&msvcrt.__p__fmode>] ;  msvcrt.__p__fmode
00689D27  |.  8B0D 849EAB00 mov     ecx, dword ptr [AB9E84]
00689D2D  |.  8908          mov     dword ptr [eax], ecx
00689D2F  |.  FF15 98626A00 call    dword ptr [<&msvcrt.__p__commode>;  msvcrt.__p__commode
00689D35  |.  8B0D 809EAB00 mov     ecx, dword ptr [AB9E80]
00689D3B  |.  8908          mov     dword ptr [eax], ecx
00689D3D  |.  A1 94626A00   mov     eax, dword ptr [<&msvcrt._adjust>

 很显然,OEP被偷了,类似这种的偷方式,找VM OEP是不顶用的,只能找一个类似的,补回去即可。

 

脱完壳后运行直接进入:

 

 

 

 

 

 

zhw309
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
脱壳-寻找OEP】通过内存定位OEP实现脱壳
这个人很懒什么都没有留下
10-19 460
注意:不需要去断加壳程序原本的代码断,因为他本身的代码断是做解密 还原 写入的,没必要在他本身做断点。这次用的也是UPX的壳,载入特殊od后可以看到upx的壳是在我们原始oep的代码外面,UPX0里面才包含我们的原始入口点,UPX1是不包含的,UPX1这块就对 解密 还原 写入这三个步骤进行操作,然后写入到UPX0这个输入表中,也就是我们真实的OEP入口代码地址。设置完后F9运行,可以发现他断在了我们的入口点处,代码已经解密完成了,加壳程序已经还原了他的代码,这也是还原后执行的第一行代码段被我们断了下来。
Themida / Winlicense (TM / WL)脱壳总结,Themida脱壳Winlicense脱壳各个版本区别总结
热门推荐
zhw309的专栏
04-23 2万+
个人总结,不一定十分准确,请勿引用! (一), Themida和不用licenseWinlicense脱壳就不说了,直接上脚本脱壳。   (二), 先看看不同版本OEP的一些小特征: 2.1.X.X版本之后的OEP特征(2.0.8.0,2.1.0.10,2.1.3.32等)   2.1版本之前的OEP特征,如(2.0.3.0,1.8.2.0,1.885等):   Te
18款脱壳软件(对付TMD,UPX等壳的软件都有)
08-11
18款脱壳软件(对付TMD,UPX等壳的软件都有) 有了这套软件,对付加壳的exe,dll就基本不成问题了!
WinLicense3.0过KEY时间限制(随笔)
Lixinist的博客
01-25 4412
网上也没这方面的资料。所以自己研究了一下 直接公布方法 1.删注册表项 ** HKEY_CURRENT_USER\Software\Classes\CcFWSettg.Category HKEY_CURRENT_USER\Software\Classes\CertificateAuthority.Request HKEY_CURRENT_USER\Software\Classes\Compress...
Themida/WinLicense自动脱壳
05-17
Themida/WinLicense 自动脱壳
Themida - Winlicense Ultra Unpacker 脱壳教程
最新发布
05-08
脱壳脚本(Themida - Winlicense Ultra Unpacker 1.4) 2. 查壳软件ExeinfoPE 3. 其要用的插件有:ODbgScript、PhantOm、StorngOD,这些插件我已经在压缩包里面准备好了,请大家尽情享用。 4. 还有一点要叮嘱的就是...
Themida - Winlicense Ultra Unpacker 1.4
01-12
转载Themida & WinLicense 2.0 - 2.4.6 脱壳需要的脚本 参考链接https://bbs.pediy.com/thread-255174.htm
Themida WinLicense V1.8.X-V2.X最佳脱壳工具
11-07
Themida WinLicense V1.8.X-V2.X最佳脱壳工具 可以使用
TheMida - WinLicense(TM / WL) 脚本汇总
07-11
TheMida - WinLicense(TM / WL) 对应版本脱壳TheMida - WinLicense(TM / WL) 机器码补丁(HWID PATCH), 具体说明和使用方法见本人博客: http://blog.csdn.net/zhw309/archive/2010/07/11/5727258.aspx
无KEY过Winlicense ( WL) 2.1.0.10 或更低所有版本
08-15
无KEY过Winlicense ( WL) 2.1.0.10 或更低所有版本,对于Themida / Winlicense (TM / WL) 2.1.0.0或以下版本无key脱壳
查壳脱壳解密工具包(专门对付注册软件)
05-10
本工具包含以下几款工具: PEiD V0 95 3146450382 查壳脱壳工具 C32asm W32Dasm反汇编解密工具 OLLyDbg 强大的破解工具 exescope不解释 自己百度吧 经测试 均为绿色版 直接上手能用 用这几个工具测试需要注册码的软件 现在还没有碰到不能破的软件 教程请自己百度 ">本工具包含以下几款工具: PEiD V0 95 3146450382 查壳脱壳工具 C32asm W32Dasm反汇编解密工具 OLLyDbg 强大的破解工具 exescope不解释 自己百度吧 经测试 均为绿色版 直接上手能用 用这几个工具测试需要注册码的软件 现 [更多]
Winlicense脱壳实例 Bypass,unpack不同版本方法
04-23
Winlicense脱壳Winlicense bypass,Winlicensev2.1.3.35以及以下版本通杀。 该文章对应的例子,里面有例子对应的bypass脚本,和脱壳脚本。 http://blog.csdn.net/zhw309/article/details/7490331
Themida Winlicense不用修复VM_OEP脱壳教程.rar
03-28
Themida Winlicense脱壳教程 视频 TMD/WL入口点查找方法 1. .text段下内存写入断点,shift+F9,取消内存断点. 2. bp GetProcessHeap+C,F9,取消断点. 3. .text段下F2断点,F9到oep或者oep的第一个call里面的位置. 这里补充下,去OEP的思路,壳先填充数据,然后填充IAT,然后开始模拟OEP代码,这样下去的. 这是我自己总结的经验,我们先到OEP去看看,这里大家熟悉吧,Delphi 第一个call里面的内容,我不说这么来的了,这个以前很多教程说过,可以搜索下,吾爱有很多.我们看下IAT的情况,IAT被变形了,为了节省时间可以直接用UIF修复IAT。我们现在先修复下IAT,然后Dump一份修复IAT保存下来,IAT修复好了,我们来Dump,入口点我们先修复成这个第一个call的地方.好,dump修复完了,下面就开始关键了,我们继续F8走
Enigma所有版本过注册 高版本通过PATCH HWID方式
zhw309的专栏
07-16 1万+
软件打开界面: V2.0以下的貌似只要跳过注册框即可,无需解码。(以下内容摘自本人发自upk的原创,并非抄袭) 以下以V3.7为例子PATCH HWID: 一,查找HWID生成地址: 1, 先在.rsrc和.data中间的这个区段(0101B000)下内存写入断点,这个区段其实就是Enigma自己验证的一个dll(DLL_Loader.dll)。, 2,
[脱壳破解]脱壳小结
独步清风
11-23 3864
首先什么是壳 作者编好软件后,编译成exe可执行文件。 1.有一些版权信息需要保护起来,不想让别人随便改动,如作者的姓名等,即为了保护软件不被破解,通常都是采用加壳来进行保护。 2.需要把程序搞的小一点,从而方便使用。于是,需要用到一些软件,它们能将exe可执行文件压缩。 3.在黑客界给木马等软件加壳以躲避杀毒软件。 壳的分类: 压缩壳和加密壳 如何分辨加密壳和压缩壳,通用特点,O
请给出WinLicense v3.13 的脱壳脚本
05-24
因此,对于WinLicense进行脱壳需要使用专门的脱壳工具和脚本。 由于WinLicense的版本和加密方式不同,脱壳脚本也会有所不同。如果您需要针对具体的WinLicense版本进行脱壳,建议您在互联网上搜索相关的脱壳教程和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值