Themida/WinLicense V1 8 2 0 +脱壳 FOR PcShare远程控制会员版本20070826
【详细过程】
今天拿到PcShare远程控制会员版本20070826,看看说明
一、加了插默认浏览器的功能
二、重新修改了文件下载,一目了然,肉机不上线也可以管理。
三、加了窗口管理的功能、
四、加了群发消息的功能
五、加了强制肉机访问网页的功能
六、增加代理(不完善测试阶段)
七、增加了记录系统登录密码功能
看着看着 就想破解,说干就干,不管是不是菜鸟,还是先查壳把,
用PEID查壳:
Themida/WinLicense V1.8.2.0 + -> Oreans Technologies * Sign.By.fly *
如果你的查不到,可以下载最新的特征库
由于是Themida壳,1.9版本的后反OD的插件,只能用工具隐藏,PEID分辨不是很好,所以干脆就用HideToolz.exe 把OD隐藏起来
在HideToolz.exe里添加上你的OD的目录,在隐藏选项里选上:
Hide process
Protect process
Hide windows
Protect form windows
Anti-anti debug
Auto Start
设置好后打开OD,
1、设置OllyDBG忽略所有异常选项。
2、用HideOD插件:
勾选Auto Run HideOD、HideNtdebugBit。
勾选ZwQueryInformationProcess-->method2。
OD载入后,到这里:
00556014 P> B8 00000000 mov eax,0
00556019 60 pushad
0055601A 0BC0 or eax,eax
0055601C 74 68 je short 00556086 ; PcShare.00556086
0055601E E8 00000000 call 00556023 ; PcShare.00556023
00556023 58 pop eax ; kernel32.7C816FD7
00556024 05 53000000 add eax,53
00556029 8038 E9 cmp byte ptr ds:[eax],0E9
0055602C 75 13 jnz short 00556041 ; PcShare.00556041
0055602E 61 popad
0055602F EB 45 jmp short 00556076 ; PcShare.00556076
00556031 DB2D 37605500 fld tbyte ptr ds:[556037]
00556037 FFFF ??? ; Unknown command
00556039 FFFF ??? ; Unknown command
0055603B FFFF ??? ; Unknown command
0055603D FFFF ??? ; Unknown command
0055603F 3D 40E80000 cmp eax,0E840
00556044 0000 add byte ptr ds:[eax],al
00556046 58 pop eax ; kernel32.7C816FD7
00556047 25 00F0FFFF and eax,FFFFF000
0055604C 33FF xor edi,edi ; ntdll.7C930738
接着运行okdodo大侠的Themida脚本后:
运行完成后有提示:
脚本执行完毕,请注意OEP是否被偷代码!
点确定,来到这里:
00422C05 50 push eax
00422C06 64:8925 00000000 mov dword ptr fs:[0],esp
00422C0D 83EC 68 sub esp,68
00422C10 53 push ebx
00422C11 56 push esi ; PcShare.0067B539
00422C12 57 push edi
00422C13 8965 E8 mov dword ptr ss:[ebp-18],esp
00422C16 33DB xor ebx,ebx
00422C18 895D FC mov dword ptr ss:[ebp-4],ebx
00422C1B 6A 02 push 2
00422C1D FF15 4C0D4800 call dword ptr ds:[480D4C] ; msvcrt.__set_app_type
00422C23 59 pop ecx ; PcShare.00422D5A
00422C24 830D 34EA4900 FF or dword ptr ds:[49EA34],FFFFFFFF
被偷了OEP。
拿一个VC++的程序来参考下:
00401F10 D> 55 push ebp
00401F11 8BEC mov ebp,esp
00401F13 6A FF push -1
00401F15 68 E8394000 push 4039E8
00401F1A 68 96204000 push 402096
00401F1F 64:A1 00000000 mov eax,dword ptr fs:[0]
00401F25 50 push eax
00401F26 64:8925 00000000 mov dword ptr fs:[0],esp
00401F2D 83EC 68 sub esp,68
00401F30 53 push ebx
00401F31 56 push esi
00401F32 57 push edi ; ntdll.7C930738
00401F33 8965 E8 mov dword ptr ss:[ebp-18],esp
00401F36 33DB xor ebx,ebx
00401F38 895D FC mov dword ptr ss:[ebp-4],ebx
00401F3B 6A 02 push 2
00401F3D FF15 4C334000 call dword ptr ds:[40334C] ; msvcrt.__set_app_type
00401F43 59 pop ecx ; kernel32.7C816FD7
00401F44 830D 6C514000 FF or dword ptr ds:[40516C],FFFFFFFF
00401F4B 830D 70514000 FF or dword ptr ds:[405170],FFFFFFFF
00401F52 FF15 48334000 call dword ptr ds:[403348] ; msvcrt.__p__fmode
为了防止代码混淆,点分析代码,向上看 :
00422BEA . C3 retn
00422BEB > E9 70010000 jmp 00422D60 ; jmp to msvcrt.terminate
00422BF0 96 db 96
00422BF1 85 db 85
00422BF2 CB db CB
00422BF3 1B db 1B
00422BF4 1D db 1D
00422BF5 . A6 cmps byte ptr ds:[esi],byte ptr es:[e>
00422BF6 . AD lods dword ptr ds:[esi]
00422BF7 . 9B wait
00422BF8 . DDD0 fst st
00422BFA . A9 7B8C7D46 test eax,467D8C7B
00422BFF . 2AF8 sub bh,al
00422C01 . 4C dec esp
00422C02 . 014E 2B add dword ptr ds:[esi+2B],ecx
00422C05 . 50 push eax
00422C06 . 64:8925 00000000 mov dword ptr fs:[0],esp
00422C0D . 83EC 68 sub esp,68
00422C10 . 53 push ebx
00422C11 . 56 push esi ; PcShare.0067B539
00422C12 . 57 push edi
00422C13 . 8965 E8 mov dword ptr ss:[ebp-18],esp
00422C16 . 33DB xor ebx,ebx
00422C18 . 895D FC mov dword ptr ss:[ebp-4],ebx
00422C1B . 6A 02 push 2
00422C1D . FF15 4C0D4800 call dword ptr ds:[480D4C] ; msvcrt.__set_app_type
确定OEP:00422BF0
并补上OEP:
00422BF0 55 push ebp
00422BF1 8BEC mov ebp,esp
00422BF3 6A FF push -1
00422BF5 68 E8394000 push 4039E8-------------------------①
00422BFA 68 96204000 push 402096-------------------------②
00422BFF 64:A1 00000000 mov eax,dword ptr fs:[0]
00422C05 . 50 push eax
00422C06 . 64:8925 00000000 mov dword ptr fs:[0],esp
00422C0D . 83EC 68 sub esp,68
00422C10 . 53 push ebx
00422C11 . 56 push esi ; PcShare.0067B539
00422C12 . 57 push edi
00422C13 . 8965 E8 mov dword ptr ss:[ebp-18],esp
00422C16 . 33DB xor ebx,ebx
00422C18 . 895D FC mov dword ptr ss:[ebp-4],ebx
00422C1B . 6A 02 push 2
其中①和②处的数据可以看考堆栈里的数据
在堆栈里找到:
0012FF7C 00000212
0012FF80 00422C05 PcShare.00422C05
0012FF84 00422D5A jmp to msvcrt._except_handler3----------------------------③
0012FF88 004873E8 PcShare.004873E8------------------------------------------④
0012FF8C FFFFFFFF
0012FF90 79ED1599
0012FF94 5300CF5B
0012FF98 006CB800 PcShare.006CB800
0012FF9C 0012FFE0
0012FFA0 006BF644 PcShare.006BF644
0012FFA4 7C930738 ntdll.7C930738
0012FFA8 FFFFFFFF
0012FFAC 0012FFF0
0012FFB0 0012FFC4
0012FFB4 7FFDC000
0012FFB8 0012FFC4
0012FFBC 0012FFB0
0012FFC0 745438A6
0012FFC4 7C816FD7 RETURN to kernel32.7C816FD7
0012FFC8 7C930738 ntdll.7C930738
0012FFCC FFFFFFFF
0012FFD0 7FFDC000
0012FFD4 8054BB38
0012FFD8 0012FFC8
0012FFDC FEFE6D78
0012FFE0 FFFFFFFF End of SEH chain
0012FFE4 7C839AA8 SE handler
0012FFE8 7C816FE0 kernel32.7C816FE0
0012FFEC 00000000
0012FFF0 00000000
0012FFF4 00000000
0012FFF8 00556014 offset PcShare.<ModuleEntryPoint>
0012FFFC 00000000
④处的数据就是①,③处的数据就是②
补好OEP后 把EIP指针改到OEP处 用LordPE_fix.EXE脱壳
打开ImportREC 填上OEP后自动查找IAT,获取函数输入表 如果有无效的就剪切掉。
到此脱壳完成,
PEID 查壳:Microsoft Visual C++ 6.0 脱壳后3.85 MB
运行程序,程序有时候提示操作系统错误,原因我不是很清楚,用OD载入 F9运行,
找到出错的地方 修改下跳转就可以了,不过后来没修改的也可以运行了。
再分享一下我老师大神的人工智能教程吧。零基础!通俗易懂!风趣幽默!还带黄段子!希望你也加入到我们人工智能的队伍中来!https://blog.csdn.net/jiangjunshow
Themida/WinLicense V1 8 2 0 +脱壳 FOR PcShare远程控制会员版本20070826相关推荐
- Themida/WinLicense.V1.8.2.0 的Anit OllyDBG新方法
Themida/WinLicense 最近一直很努力 自从Themida/WinLicense.V1.1.1.0放弃驱动后,Themida/WinLicense的Anti仿佛一下子就没了. 但是自Th ...
- 总结Themida / Winlicense加壳软件的脱壳方法
总结下Themida / Winlicense (TM / WL) 的脱壳方法. 1, 查看壳版本,这个方法手动也可以,因为这个壳的版本号是写在程序里面的,在解压后下断点即可查看,这里有通用的脚本, ...
- Themida / Winlicense (TM / WL)脱壳总结,Themida脱壳,Winlicense脱壳各个版本Safengine区别总结
个人总结,不一定十分准确,请勿引用! (一), Themida和不用license的Winlicense脱壳就不说了,直接上脚本脱壳. (二), 先看看不同版本OEP的一些小特征: 2.1.X.X版本 ...
- tElock 1.0脱壳 风云防火墙个人版
tElock 1.0脱壳 风云防火墙个人版 tElock 1.0脱壳 风云防火墙个人版 下载地址: http://www.218.cc/ [软件简介]:一款不错的ARP防火墙软件 [作者声明]:初学 ...
- 超级3GP转换器 V1.6.3.0 纯免费的
转自http://www.zhuanhuan.com/ 超级3GP转换器能帮你做什么? 1.几乎全部格式音视频转换.电脑里的电影视频,都能随意在手机,MP4机,iPod, PSP, Zune 等移动设 ...
- 开源网店系统源码PrestaShop v1.7.7.0
简介: 开源网店系统源码PrestaShop v1.7.7.0支持多种货比和多种交易方式 PrestaShop是一款针对web2.0设计的全功能.跨平台的开源电子商务解决方案,自08年1.0版本发布, ...
- 快递助手 V1.2.2.0
快递助手支持顺丰.中通.圆通.DHL.UPS等国内,国际主流快递公司的快递查询.使用方便,只需输入快递单号,就能查询整个快递流程.免除在官网查询时,速度慢,频繁输入验证码等各种问题. 快递助手只 ...
- 爱站seo工具包 v1.11.15.0
点击下载来源:爱站seo工具包 v1.11.15.0 爱站seo工具包是一款网站数据查询应用,一个强大的站长工具集合,主要整合了爱站原有的各种功能.爱站seo工具包破解版拥有免费的SEO查询功能,包括 ...
- CADRE.Flow.v1.1.1007.0
CADRE.Flow.v1.1.1007.0(流体力学分析与管道CAD辅助设计的工具) CADRE.Geo.v5.0.1009.0(为CAD有限元分析应用生成各种各样球状体多面体3D模型的软件) CA ...
- 反恐精英模组 csJKL v1.6.a.0 初始版发布
反恐精英cs模组 csJKL v1.6.a.0 初始版发布: 游戏简介: csJKL mod v1.6 是由 csJKL大军 原创改版开发的cs1.6模组(mod), 本次发布的为多武器8个o4威力加 ...
最新文章
- 华为+长安研发芯片?长安蔚来更名“阿维塔科技”
- pb 里面有个report object_【园所新闻】我们与秋天有个“约会” ——记区一实幼尧佳园亲子秋游活动...
- c++学习笔记之基础---类内声明函数后在类外定义的一种方法
- PyTorch 实现经典模型6:RCNN (Fast RCNN, Faster RCNN)
- 透露抖音、腾讯、阿里、美团招开发岗位硬核面试题,轻轻松松收到offer
- 国内物联网平台初探(七) ——Ablecloud物联网自助开发和大数据云平台
- python get 下载 目录_python实现支持目录FTP上传下载文件的方法
- 确实会玩!教你用Python玩转数据~
- 短时程突触可塑性(short-term synaptic plasticity)
- 感谢OpenEIM的技术人员能够及时修补漏洞
- 自动化测试的点点滴滴经验积累
- matlab源码——政治优化算法(Political Optimizer,PO)
- bui框架与php结合,bui框架前端自定义配色基础属性
- ArcView Image Analyst v1.0.rar
- 快播资源地址转百度影音地址v1.2
- VS2019使用Mini-Filter
- 计算机应对青少年素质培养作文,2020年关于素质修养的作文5篇
- group by 和 having 用法
- 万豪国际集团旗舰酒店品牌正式入驻中国东北地区
- vol.138 三周年特辑 · 那些无处安放的敏感词们