Themida / Winlicense (TM / WL)脱壳总结,Themida脱壳,Winlicense脱壳各个版本Safengine区别总结
个人总结,不一定十分准确,请勿引用!
(一),
Themida和不用license的Winlicense脱壳就不说了,直接上脚本脱壳。
(二),
先看看不同版本OEP的一些小特征:
2.1.X.X版本之后的OEP特征(2.0.8.0,2.1.0.10,2.1.3.32等)
2.1版本之前的OEP特征,如(2.0.3.0,1.8.2.0,1.885等):
Temida OEP特征:如(2.0.3.0,)
一,对于Winlicense2.1.0.10及其以下版本,不用license,可自己随意构造一个license直接bypass.然后脱壳。
bypass过程
1, 先获得license名称,自己随便构造一个license,然后OD运行程序,弹出提示窗口后获得JMP的首地址:FirstJmpAddress。
2, 下FirstJmpAddress硬件断点,重新运行程序,中断后,在第二个jmp,enter进入,然后搜索cmp ecx,eax,下断点,运行,中断在CmpEcxEaxAddress。
3, 运行几次后,会得到eax,ecx不同的值,其中eax为正确的checkword,把eax值赋给ecx即可。共有两次不同,所以有两个checkword。
4, 搜索kenrel.dll的首地址,本机为7c800000, ctrl+B,输入:00 00 80 7C。再搜索dll地址的第二个地址,可以获得SecondDllAddress。在改完第二个checkword后,把SecondDllAddress更改为首个dll地址,运行即可bypass.
二,2.1.X.X版本之后的OEP特征(2.0.8.0,2.1.0.10,2.1.3.32等):
bypass过程:
1,需要一个可用license
第1,2步骤与以上相同.
第3个步骤中,只有一个checkword,但是这个checkword值也有两次校验,分别赋给ecx即可bypass.
三,还碰到过一种bypass,是需要不断监控eax和SecondDllAddress 值的,不知道属于哪个版本。可看教程WinLicense ByPass For SecondDllAddress.
以上三种版本bypass过程需要如何分辨,主要看cmp ecx,eax时候的值来辨别!
Winlicense脱壳过程:
把bypass的script插入zhw hwid Themida - Winlicense 1.x - 2.x Multi PRO Edition 1.2.txt中即可实现bypass加脱壳。
搜索/*zhw bypass */部分可看到插入的script.
以上过程如有补充或疑问,可问QQ: 492227110, 对软件破解、Winlicense脱壳,Zprotect脱壳,Safengine 网络验证破解等有一定的研究。
Themida / Winlicense (TM / WL)脱壳总结,Themida脱壳,Winlicense脱壳各个版本Safengine区别总结相关推荐
- 【FAQ】软件保护系统Themida常见问题集锦(一)—Themida和WinLicense有什么区别?...
Themida是先进的Windows软件保护系统,它被用于满足软件开发人员对于所开发应用程序安全保护的需求,使其远离被先进的逆向工程和软件的危险. 通过Themida,我们集中在软件保护器所具有的主要 ...
- 【FAQ】软件保护系统Themida常见问题集锦(一)—Themida和WinLicense有什么区别?
Themida是先进的Windows软件保护系统,它被用于满足软件开发人员对于所开发应用程序安全保护的需求,使其远离被先进的逆向工程和软件的危险. 通过Themida,我们集中在软件保护器所具有的主要 ...
- 脱壳--03.exe OD脚本脱壳
和02程序类似 但是我们换一种方式脱壳 就是利用OD脚本脱壳 我们通过02程序知道壳代码在获取真正的api地址以后 会对api地址做一些处理 然后在填写到iat表中 在我们调用api的时候 并没有直接 ...
- 脱壳小子-java anti-decompiler保护脱壳
前言 有一天,脚本小子想开发一个工具,但脚本小子又不想从头构思设计代码框架,就找找业界有没有好的工具能不能抄抄.终于在脚本小子快乐星球里,找到一个看起来还不错的工具.但存在一个问题,这个工具有代码保护 ...
- upx手动脱壳(esp定律手动脱壳)
ESP定律手动脱壳 拿到有upx壳的文件后,首先用xdbg打开. 然后F9运行到用户代码(有upx壳文件一般为pushed) 然后F8单步运行一下,发现右边寄存器esp变红了,因此此处可以使用esp定 ...
- 总结Themida / Winlicense加壳软件的脱壳方法
总结下Themida / Winlicense (TM / WL) 的脱壳方法. 1, 查看壳版本,这个方法手动也可以,因为这个壳的版本号是写在程序里面的,在解压后下断点即可查看,这里有通用的脚本, ...
- 对themida(1.8.5.5)加密VC++程序的完美脱壳
-------------------------------------------------------------------------------- [详细过程] 我经过探索 ...
- 脱壳入门初级教学(第四课 常见压缩壳与加密壳)
转自:http://bestmk.cn/thread-491.htm 加壳软件按照其加壳目的和作用,可分为两类:一是压缩(Packers),二是保护(Protectors).压缩这类壳主要目的是减小程 ...
- 攻防世界 simple-unpack 之UPX脱壳初探
目录 0x01 "壳"what? 0x02 加壳的目的和作用 0x03 常见壳介绍 0x04 查壳 0x05 脱壳 0x01 "壳"what? 计算机软件中有一 ...
最新文章
- 技巧|利用 Python 实现多任务进程
- Python入门 Python自学路线 Python如何学习
- 3D神经接口系统可以感知和操纵“微型脑“
- python【力扣LeetCode算法题库】225-用队列实现栈
- python如何更新包_python如何更新包 python更新包代码示例
- 【小白学习PyTorch教程】八、使用图像数据增强手段,提升CIFAR-10 数据集精确度...
- 深度学习笔记 第四门课 卷积神经网络 第三周 目标检测
- Android 首页图片轮播
- Python (五) 高级特性
- python语法基础整理_Python基础
- Python 字符串 - Python零基础入门教程
- PCA主成分分析实战和可视化 | 附R代码和测试数据
- 裂变活动的5个关键步骤?
- itpt_TCPL 第五章:指针和数组 - 第八章:UNIX系统接口
- 在Excel中如何把每三行数据合并为一行?
- 一个劣质24V电源引发的悲剧:主板南桥烧了
- 菜鸟窝Android百度云视频,菜鸟窝React Native 视频系列教程
- idea 远程debug调试
- BackTrack3 安装记录
- spark 不在 sudoers 文件中。此事将被报告。