Themida脱壳
关注
分享
扫一扫
zhw309
这个作者很懒,什么都没留下…
展开
-
Themida / Winlicense (TM / WL)脱壳总结,Themida脱壳,Winlicense脱壳各个版本区别总结
个人总结,不一定十分准确,请勿引用!(一),Themida和不用license的Winlicense脱壳就不说了,直接上脚本脱壳。 (二),先看看不同版本OEP的一些小特征:2.1.X.X版本之后的OEP特征(2.0.8.0,2.1.0.10,2.1.3.32等) 2.1版本之前的OEP特征,如(2.0.3.0,1.8.2.0,1.885等): Te原创 2012-04-23 17:40:10 · 25680 阅读 · 7 评论 -
TMD/WL (Themida / Winlicense ) SDK VM的解决方案 (应用篇,非引擎分析)
在Themida / Winlicense脱壳后,在以下几种情况可能需要对SDK VM 进行处理。1,程序分析需要。2,由于最新版本anti-dump原因,有可能导致脱壳后的程序不能运行。3,需要减小程序体积,删去TMD/WL壳区段。 TMD/WL VM的两种常见方式,1,JMP 方式在程序中很容易找到 jmp aaaaaaaaaaaaaaaa: pu原创 2012-05-14 01:57:03 · 6930 阅读 · 1 评论 -
超级邮件群发机 supmail (inline patch 或loader制作)
超级邮件群发机,看来来功能还是挺全的, 看下区段: 好家伙,ASPROTECT,WINLICENSE两层壳,好吧,我们只要过壳就可以了,找到合适的点PATCH掉即可。仔细看了看,好像没什么新鲜的,1,找到第一个JMP。2,找到CMP ECX,EAX3,PATCH 掉 ECX值。 看起来真的是没什么好说的,做个笔记好了。至于Inline pat原创 2012-06-21 15:29:11 · 5205 阅读 · 2 评论 -
过Winlicense注册各版本方法总结
软件界面:1,2.0.7.0以下版本,有的要求有可用的KEY文件(对部分代码已经采取加密方式),直接PATCH 2个所谓的DWORD即可。步骤:1,找到第一个jmp。(该方法就不说了吧,看到论坛里面一直在重复) 再次运行中断后找下面的关键字(中断在这里的理论依据仅仅是壳段解码完毕),pattern 1:B8 01 00 00 00 89 85 ?? ?? ??原创 2012-07-16 21:31:56 · 7706 阅读 · 1 评论 -
GetDuxiuStr破解 ---WL/TMD加密
自言自语,对其他人未必有用。打开GetDuxiuStr.exe后弹出窗口:很明显GetDuxiuStr是WinLicense加密的。主程序GetDuxiuStr脱壳后运行不起来,一查,含有SDK。应该是GetDuxiuStr SDK里面有对key做校验。GetDuxiuStr脱壳后全部修复工作量太大,考虑用补丁方式。GetDuxiuStr补丁主要做以下几点:原创 2012-08-23 23:49:36 · 5722 阅读 · 1 评论 -
winlicense/TMD脱壳----私募牛股预警系统 脱壳
私募牛股预警系统不得不说,这个Winlicense加的还是挺全面的。未破解时,打开加壳文件smng-license.exe:试用版本,7天的试用期。 很显然,有两种过注册思路,一个是脱壳,一个就是PATCH cmp ecx,eax.脱壳的话,有可能WIN7下用不了,PATCH的话呢,补丁做得好的话是通用的。 OEP停在这里:00689D0A |. 6原创 2012-08-23 15:00:33 · 6168 阅读 · 0 评论