首页
论坛
课程
招聘
[分享]Themida & WinLicense 2.0 - 2.4.6 脱壳
2019-10-23 20:18 24339

[分享]Themida & WinLicense 2.0 - 2.4.6 脱壳

2019-10-23 20:18
24339
收藏
点赞3
打赏
分享
最新回复 (36)
雪    币:
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
DoctorHou 活跃值 2020-2-20 00:26
26
0
您好,我停的位置不同,我在resume之后就没有提示什么,后来来到一个puase,我在国外的论坛找到原贴,他提示在主程序窗口再次resume,但是这样我还是没有来到弹窗的地方。
雪    币:
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
DoctorHou 活跃值 2020-2-20 00:33
27
0
mb_iolthrdn 我想知道用什么去修改那个dll的路径呢
脚本是个txt,直接在里面改。
雪    币: 107
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
xuebohan 活跃值 2020-2-21 15:09
28
0
也是error on lin 11232
雪    币: 23
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
HelloOcean 活跃值 2020-3-8 14:38
29
0
error on lin 11232   这个错误是中文路径的错误
雪    币: 23
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
HelloOcean 活跃值 2020-3-8 15:03
30
0
zzcl558 没有啊,楼主很忙,没空理我们呢[em_20],我们的一样,我的也是停在esto这里
去看原版连接,那个更详细
雪    币: 249
活跃值: 活跃值 (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
livy 活跃值 2020-3-11 17:43
31
0
脱壳后,文件无效,还是iat没有修复
雪    币: 186
活跃值: 活跃值 (56)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
ddwwtom 活跃值 2020-7-13 10:23
32
0
你好,我的出现这种问题怎么办?
Log data
Address    Message
           Themida - Winlicense Ultra Unpacker 1.4
           -+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

07480A0F   Breakpoint at 07480A0F
07480A10   Breakpoint at 07480A10
07490054   Breakpoint at 07490054

           OS=x86 32-Bit
07490056   Breakpoint at 07490056
074B0021   Breakpoint at 074B0021
074B0028   Breakpoint at 074B0028

           1.681 MB +/-

           4.396 MB +/-
           Dll Can Move Option is Enabled! = Diffrent loading of targetbase!
           You need to disable this option or system ASLR!
           Dll Can Move was disabled in PE Header now before dumping later!

           Your target is a >>> Dynamic <<< Link Library!

           Note: If possible then don't use the VM OEP for dlls if real OEP is not stolen!
           Change VM OEP after popad to JMP Target OEP!
           Or
           Just set a another push 0 before VM OEP push = 2 pushes before jump to WL VM!

           OEP change if you want to keep VM OEP for Dll
           -------------------------------------------------
           popad
           mov ebp, Align
           push 0
           push VM OEP Value
           jmp WL VM
           -------------------------------------------------

           Exsample: Not stolen Dll OEP!
           -------------------------------------------------
           100084D2   MOV EDI,EDI
           100084D4   PUSH EBP
           100084D5   MOV EBP,ESP
           100084D7   CMP DWORD PTR SS:[EBP+0xC],0x1  <-- check for 1 must be inside to run the Dll
           100084DB   JNZ SHORT 100084E2              <-- Don't jump if value 1 is inside stack

           Stack: At Target OEP / Not stolen
           -------------------------------------------------
           $ ==>    7C91118A  RETURN to ntdll.7C91118A
           $+4      10000000  Dll_X.10000000  <-- Base
           $+8      00000001                  <-- 1
           $+C      00000000

           ImageBase in PE keep same = File was loaded with original ImageBase!


           PE HEADER:   10000000 | 1000
           CODESECTION: 10001000 | 1A000
           PE HEADER till CODESECTION Distance: 1000 || Value of 1000 = Normal!
           Your Target seems to be a normal file!

           Unpacking of NET targets is diffrent!
           Dump running process with WinHex and then fix the whole PE and NET struct!

074C07AA   Breakpoint at 074C07AA

           No Overlay used!
雪    币: 200
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
世界旁观者 活跃值 2020-9-7 12:02
33
0
脱壳后,文件无效。。
雪    币: 583
活跃值: 活跃值 (111)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
supersoar 活跃值 2020-9-9 10:02
34
0
能提取 XBulder 打包的文件么
雪    币: 35
活跃值: 活跃值 (124)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
CRloewe 活跃值 2020-12-23 10:16
35
0
zzcl558 看错了,看成是你要了[em_20]


最后于 2020-12-23 14:15 被CRloewe编辑 ,原因:
雪    币: 506
活跃值: 活跃值 (236)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
欧阳休 活跃值 2021-3-2 11:43
36
0
dump的文件无法运行!
雪    币: 9944
活跃值: 活跃值 (2143)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
ninebell 活跃值 2021-3-4 07:10
37
0
2021年了,版本能通用?
游客
登录 | 注册 方可回帖
返回