Themida/WinLicense.V1.8.2.0 的Anit OllyDBG新方法
Themida/WinLicense 最近一直很努力
自从Themida/WinLicense.V1.1.1.0放弃驱动后,Themida/WinLicense的Anti仿佛一下子就没了。
但是自Themida/WinLicense.V1.8.0.0,Oreans Technologies新增了HeapMagic检测,这个Anti方法目前还未见公开。
Themida/WinLicense.V1.8.2.0,Oreans Technologies利用了OllyDBG未公开的一个浮点指令漏洞来使得OllyDBG崩溃。
下面借助例子来简单说明一下Themida/WinLicense.V1.8.2.0利用的这个OllyDBG漏洞
CODE:
[Copy to clipboard]
MorGain结构快速设计安装程序.V2006.10.Revison.1571
http://www.morgain.com/download.htm 没发现其他新版加壳的小例子,所以借用这个 设置OllyDBG暂停在WinMain,载入HiDesign.exe,OllyDBG莫名其妙就自动退出了 可以用Hiew等工具观察一下HiDesign.exe的EP处代码
CODE:
[Copy to clipboard]
00740014 B8 00000000 mov eax,0
00740019 60 pushad 0074001A 0BC0 or eax,eax 0074001C 74 68 je short 00740086 0074001E E8 00000000 call 00740023 00740023 58 pop eax 00740024 05 53000000 add eax,53 00740029 8038 E9 cmp byte ptr ds:[eax],0E9 0074002C 75 13 jnz short 00740041 0074002E 61 popad 0074002F EB 45 jmp short 00740076 00740031 DB2D 37007400 fld tbyte ptr ds:[740037] 00740037 FFFF ??? 00740039 FFFF ??? 0074003B FFFF ??? 0074003D FFFF ??? 0074003F 3D 40E80000 cmp eax,0E840 00740044 0000 add byte ptr ds:[eax],al 00740046 58 pop eax 00740047 25 00F0FFFF and eax,FFFFF000 00740041处其实是: 再看一下Themida/WinLicense以前版本的入口代码:
CODE:
[Copy to clipboard]
007F8014 B8 00000000 mov eax,0
007F8019 60 pushad 007F801A 0BC0 or eax,eax 007F801C 74 58 je short 007F8076 007F801E E8 00000000 call 007F8023 007F8023 58 pop eax 007F8024 05 43000000 add eax,43 007F8029 8038 E9 cmp byte ptr ds:[eax],0E9 007F802C 75 03 jnz short 007F8031 007F802E 61 popad 007F802F EB 35 jmp short 007F8066 007F8031 E8 00000000 call 007F8036 007F8036 58 pop eax 007F8037 25 00F0FFFF and eax,FFFFF000 Themida/WinLicense.V1.8.2.0 入口代码与之前版本的多了以下部分:
CODE:
[Copy to clipboard]
00740031 DB2D 37007400 fld tbyte ptr ds:[740037]
00740037 FFFF ??? 00740039 FFFF ??? 0074003B FFFF ??? 0074003D FFFF ??? 0074003F 3D 40E80000 cmp eax,0E840 00740031 DB2D 37007400 fld tbyte ptr ds:[740037]
CODE:
[Copy to clipboard]
00740037 FF FF FF FF FF FF FF FF 3D 40
浮点数:9.2233720368547758080e+18 OllyDBG目前最新V1.10版本处理此浮点数会崩溃! 我们只要在代码中构造一个如此的浮点指令陷阱,当OllyDBG V1.10反汇编至此时就会中招而崩溃退出
QUOTE:
OllyDBG V1.10 反汇编浮点指令陷阱:
fld tbyte ptr ds:[XXXXXXXX]
QUOTE:
解决方案:
1、期待OllyDBG新版修正此bug Thanks:shoooo、heXer |
一蓑烟雨……任平生! |
向fly等牛人学习!
Themida/WinLicense.V1.8.2.0 的Anit OllyDBG新方法相关推荐
- 总结Themida / Winlicense加壳软件的脱壳方法
总结下Themida / Winlicense (TM / WL) 的脱壳方法. 1, 查看壳版本,这个方法手动也可以,因为这个壳的版本号是写在程序里面的,在解压后下断点即可查看,这里有通用的脚本, ...
- Themida / Winlicense (TM / WL)脱壳总结,Themida脱壳,Winlicense脱壳各个版本Safengine区别总结
个人总结,不一定十分准确,请勿引用! (一), Themida和不用license的Winlicense脱壳就不说了,直接上脚本脱壳. (二), 先看看不同版本OEP的一些小特征: 2.1.X.X版本 ...
- 超级3GP转换器 V1.6.3.0 纯免费的
转自http://www.zhuanhuan.com/ 超级3GP转换器能帮你做什么? 1.几乎全部格式音视频转换.电脑里的电影视频,都能随意在手机,MP4机,iPod, PSP, Zune 等移动设 ...
- 开源网店系统源码PrestaShop v1.7.7.0
简介: 开源网店系统源码PrestaShop v1.7.7.0支持多种货比和多种交易方式 PrestaShop是一款针对web2.0设计的全功能.跨平台的开源电子商务解决方案,自08年1.0版本发布, ...
- 快递助手 V1.2.2.0
快递助手支持顺丰.中通.圆通.DHL.UPS等国内,国际主流快递公司的快递查询.使用方便,只需输入快递单号,就能查询整个快递流程.免除在官网查询时,速度慢,频繁输入验证码等各种问题. 快递助手只 ...
- 爱站seo工具包 v1.11.15.0
点击下载来源:爱站seo工具包 v1.11.15.0 爱站seo工具包是一款网站数据查询应用,一个强大的站长工具集合,主要整合了爱站原有的各种功能.爱站seo工具包破解版拥有免费的SEO查询功能,包括 ...
- CADRE.Flow.v1.1.1007.0
CADRE.Flow.v1.1.1007.0(流体力学分析与管道CAD辅助设计的工具) CADRE.Geo.v5.0.1009.0(为CAD有限元分析应用生成各种各样球状体多面体3D模型的软件) CA ...
- 反恐精英模组 csJKL v1.6.a.0 初始版发布
反恐精英cs模组 csJKL v1.6.a.0 初始版发布: 游戏简介: csJKL mod v1.6 是由 csJKL大军 原创改版开发的cs1.6模组(mod), 本次发布的为多武器8个o4威力加 ...
- Nik Collection for Mac 中文版合集 v1.2.8.0 破解版 PS滤镜
PS 滤镜 Nik Collection 合集是一套专注于图像后期处理.调色的 PS 滤镜插件!Collection 全套有 7 款强大的图像处理插件,可以进行图像后期处理.调色的 PS 滤镜,包括降 ...
最新文章
- R语言使用caret包中的createMultiFolds函数对机器学习数据集进行交叉验证抽样、返回的样本列表长度为k×times个、times为组内抽样次数
- 何恺明大神新作--UnNAS:无监督神经网络架构搜索
- 允许自行设计赛道之后,参赛同学都想到了什么呢?
- Oracle 内置函数
- php防止恶意频繁刷新页面或form提交
- Spring Boot学习笔记-实践建言
- EOS账户系统(3)账户的权限
- pytorch 1.9.0 backward函数解释以及报错(RuntimeError: grad can be implicitly created only for scalar outputs)
- group plot simplest approach in matlab
- 微信小程序websocket聊天室
- Ubuntu KDE中 Kaccounts-provider 问题
- 【转】CT层厚、层间距、层间隔的概念是什么,MRI的层厚、层间距、曾间隔是什么
- Android 内存泄漏分析指北
- Git-根据tag创建分支
- msys2编译ffmpeg:ERROR: libx264 not found
- csdn 获取下载积分
- 用C语言实现死亡之ping
- hive建表语句comment 中文描述乱码
- android项目导入zoom视频会议流程
- 转:如何做好团队复盘?3大阶段、9个步骤