首页
论坛
课程
招聘
THEMIDA脚本(for IAT restore)
2007-3-23 16:37 81553

THEMIDA脚本(for IAT restore)

2007-3-23 16:37
81553
减少一点体力活


/*
Script written by okdodo  2007/03
Tested for themida IAT restore and OEP find~

Ollyice: Ignore all exceptions (add 0EEDFADE,C0000005,C000001E)
HideOD : Check HideNtDebugBit and ZwQueryInformationProcess(method2)

Test Environment : Ollyice 1.1 + HideOD   
                   ODBGScript 1.52 under WINXP
Thanks :
         kanxue     - author of HideOD      
         hnhuqiong  - author of ODbgScript 1.52
*/


data:
var cbase
var csize
var dllimg
var pmbase
var apibase
var mem

gmi eip,CODEBASE
mov cbase,$RESULT
gmi eip,CODESIZE
mov csize,$RESULT
gmemi eip,MEMORYBASE
mov dllimg,$RESULT
log dllimg

findapibase:
gpa "GetLocalTime", "kernel32.dll"
mov tmpbp,$RESULT
cmp tmpbp,0
je stop
bphws tmpbp ,"x"
esto
bphwc tmpbp
rtu
gpa "VirtualAlloc", "kernel32.dll"
mov tmpbp,$RESULT
cmp tmpbp,0
je stop
bphws tmpbp ,"x"
esto
bphwc tmpbp
rtu
mov apibase,eax
log apibase
gpa "LoadLibraryA", "kernel32.dll"
mov tmpbp,$RESULT
cmp tmpbp,0
je stop
bphws tmpbp ,"x"
esto
bphwc tmpbp
rtu

findVirtualAlloc:
find apibase,#558BECFF7514FF7510FF750CFF75086AFFE8090000005DC21000#
mov tmpbp,$RESULT
cmp tmpbp,0
je stop
bphws tmpbp ,"x"

iatloop:
esto
mov tmp,[esp]
find dllimg,#50516033C0#
cmp $RESULT,0
jne iatpatch
jmp iatloop

iatpatch:
bphwc tmpbp
find eip,#C21000#
bphws $RESULT,"x"
esto
bphwc $RESULT
sti
mov tmpbp,tmp
find tmpbp,#0F850A000000C785#
mov tmpbp,$RESULT
mov [tmpbp],0A0EEB
find tmpbp,#0F84390000003B8D#
mov tmpbp,$RESULT
mov [tmpbp],3928EB

alloc 1000
mov mem, $RESULT
log mem
mov tmp,mem
mov [tmp],#A3000000008908ADC746FC00000000E90000000050A1000000008907807FFFE8750866C747FEFF15EB0666C747FEFF2558E90000000050A100000000894701807FFFE8750866C747FFFF15EB0666C747FFFF25580F8500000000E90000000083C704E900000000#
mov memtmp,tmp
add memtmp,100
add tmp,1
mov [tmp],memtmp
add tmp,15
mov [tmp],memtmp
add tmp,22
mov [tmp],memtmp
mov tmp,mem

find tmpbp,#8908AD#
mov tmpbp,$RESULT
mov addr1,tmpbp
add addr1,0A
eval "jmp {tmp}"
asm tmpbp, $RESULT

find tmpbp,#E92400000058#
mov tmpbp,$RESULT
add tmp,14
eval "jmp {tmp}"
asm tmpbp, $RESULT

find tmpbp,#0F851800000083BD#
mov tmpbp,$RESULT
mov addr3,tmpbp
add addr3,06
add tmp,22
eval "jmp {tmp}"
asm tmpbp, $RESULT

find tmpbp,#884704#
mov tmpbp,$RESULT
mov addr2,tmpbp
add addr2,03
mov [tmpbp],#909090#

find tmpbp,#ABAD#
mov tmpbp,$RESULT
mov [tmpbp],#90#

add tmpbp,9
add tmp,29
eval "jmp {tmp}"
asm tmpbp, $RESULT

mov memtmp,mem
add memtmp,0F
eval "jmp {addr1}"
asm memtmp, $RESULT
add memtmp,22
eval "jmp {addr2}"
asm memtmp, $RESULT
add memtmp,23
eval "jne {addr2}"
asm memtmp, $RESULT
add memtmp,06
eval "jmp {addr3}"
asm memtmp, $RESULT
add memtmp,08
eval "jmp {addr1}"
asm memtmp, $RESULT

find eip,#C7010000000083C104#
mov tmpbp,$RESULT
add tmpbp,14
bphws tmpbp,"x"
esto
bphwc tmpbp

mov tmp,cbase
add tmp,csize

findoep:
bprm cbase,csize
esto
bpmc
cmp eip,tmp
ja findoep
msg "script finished,check the oep place by yourself~"
ret

stop:
pause

apierror:
pause

【看雪培训】《Adroid高级研修班》2022年春季班招生中!

收藏
点赞0
打赏
分享
最新回复 (140)
雪    币: 666
活跃值: 活跃值 (65)
能力值: ( LV9,RANK:250 )
在线值:
发帖
回帖
粉丝
elance 活跃值 6 2007-3-23 16:45
2
0
不会用,
雪    币: 208
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
npfoxx 活跃值 2007-3-23 17:12
3
0
不懂。。楼主能够解释一下脚本的具体用法用途吗?
雪    币: 58
活跃值: 活跃值 (17)
能力值: ( LV9,RANK:410 )
在线值:
发帖
回帖
粉丝
hnhuqiong 活跃值 10 2007-3-23 17:17
4
0
兄弟很勤快啊,脚本开始运用的越来越炉火纯青了.

BTW:1.52有什么BUG报告不??
    1.53抽空在写,又修正了几个BUG,加了几个函数,兄弟给个Email,提前给你测试,勤写脚本有什么特殊要求,兄弟给你加上.
雪    币: 201
活跃值: 活跃值 (29)
能力值: ( LV9,RANK:690 )
在线值:
发帖
回帖
粉丝
cyclotron 活跃值 17 2007-3-23 17:20
5
0
牛人,学习~
雪    币: 199
活跃值: 活跃值 (160)
能力值: ( LV12,RANK:2670 )
在线值:
发帖
回帖
粉丝
KuNgBiM 活跃值 66 2007-3-23 17:25
6
0
又一火星人``````
学习~
雪    币: 203
活跃值: 活跃值 (12)
能力值: ( LV9,RANK:210 )
在线值:
发帖
回帖
粉丝
cxlrb 活跃值 5 2007-3-23 17:30
7
0
有一个大牛!希望过几天看到脱壳机。
雪    币: 51
活跃值: 活跃值 (12)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
少爷 活跃值 2007-3-23 17:35
8
0
脱壳机!!!
等啊!!!
雪    币: 200
活跃值: 活跃值 (10)
能力值: ( LV9,RANK:250 )
在线值:
发帖
回帖
粉丝
KAN 活跃值 6 2007-3-23 17:49
9
0
牛人越来越多了
雪    币: 170
活跃值: 活跃值 (14)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
yzjsdn 活跃值 2007-3-23 17:50
10
0
学习~~~感谢提供
雪    币: 205
活跃值: 活跃值 (10)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
okdodo 活跃值 2 2007-3-23 17:56
11
0
最初由 hnhuqiong 发布
兄弟很勤快啊,脚本开始运用的越来越炉火纯青了.


BTW:1.52有什么BUG报告不??
1.53抽空在写,又修正了几个BUG,加了几个函数,兄弟给个Email,提前给你测试,勤写脚本有什么特殊要求,兄弟给你加上.


1.52好用  Thanks~!
Email: okdodo@126.com

现在在想办法清理themida的变形代码 脚本似乎不容易实现:(

修改了softworm的代码后能清理一部分,不过距离期望值还有距离
雪    币: 202
活跃值: 活跃值 (10)
能力值: ( LV9,RANK:1130 )
在线值:
发帖
回帖
粉丝
binbinbin 活跃值 28 2007-3-23 18:07
12
0
收藏起来先~有人使用过了没有,给出效果啊
雪    币: 123
活跃值: 活跃值 (29)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
xzchina 活跃值 1 2007-3-23 18:30
13
0
用平静的心态收下了
完全不知道执行后是什么效果
雪    币: 134
活跃值: 活跃值 (12)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
playx 活跃值 1 2007-3-23 18:42
14
0
去年是aspr年,今年就是TMD年了,呵呵,支持+期待!
雪    币: 0
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
疯狂菜鸟 活跃值 2007-3-23 19:38
15
0
好东西,随便测试了一个

就跟脱压缩壳一样。。比ASPR脚本还厉害 真是无敌了
雪    币: 58
活跃值: 活跃值 (17)
能力值: ( LV9,RANK:410 )
在线值:
发帖
回帖
粉丝
hnhuqiong 活跃值 10 2007-3-23 20:44
16
0
最初由 okdodo 发布
1.52好用 Thanks~!
Email: okdodo@126.com

现在在想办法清理themida的变形代码 脚本似乎不容易实现:(

........


还没有空琢磨themida,不过,我尝试一下下一个版本把虚拟机中常用的汇编语句也整到脚本语句里面来,这样,在变量计算上就方便了.不用在脚本环境和OD环境中来回潜,我原先1.3xx的时候,有个想法就是开一个大区,然后把它的真正VM计算这一节给复制过去,卡住他的几个计算关键结果,然后回到脚本带入变量重新计算,然后回填修复的变形代码.可这个整理工作也是天量,是在没有勇气去弄.最主要softftworm告诉俺们VM有几个东西很难弄,大虾都说了,俺们就撤退了.
感觉themida框架还没有最后定死,定死了,兄弟们就上.
雪    币: 666
活跃值: 活跃值 (65)
能力值: ( LV9,RANK:250 )
在线值:
发帖
回帖
粉丝
elance 活跃值 6 2007-3-23 20:48
17
0
最初由 hnhuqiong 发布
感觉themida框架还没有最后定死,定死了,兄弟们就上.


雪    币: 27
活跃值: 活跃值 (26)
能力值: ( LV9,RANK:970 )
在线值:
发帖
回帖
粉丝
wynney 活跃值 24 2007-3-23 22:27
18
0
脚本很强悍、楼主更强悍
雪    币: 224
活跃值: 活跃值 (12)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
glts 活跃值 2007-3-23 22:45
19
0
拿两个程序试了一下,结果程序直接跑飞, 不知道啥原因.
雪    币: 203
活跃值: 活跃值 (10)
能力值: ( LV9,RANK:290 )
在线值:
发帖
回帖
粉丝
clide2000 活跃值 7 2007-3-24 00:17
20
0
先收藏以后备用
雪    币: 454
活跃值: 活跃值 (22)
能力值: ( LV12,RANK:660 )
在线值:
发帖
回帖
粉丝
prince 活跃值 16 2007-3-24 00:58
21
0
不知道接下来会出什么事情
雪    币: 195
活跃值: 活跃值 (10)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
aki 活跃值 2 2007-3-24 08:52
22
0
1.52载入脚本的时候,要出2个错误,然后才能正常跑,不知是什么bug
雪    币: 322
活跃值: 活跃值 (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
wan 活跃值 2007-3-24 09:37
23
0
精品肯定要收下的
雪    币: 58
活跃值: 活跃值 (17)
能力值: ( LV9,RANK:410 )
在线值:
发帖
回帖
粉丝
hnhuqiong 活跃值 10 2007-3-24 11:11
24
0
最初由 aki 发布
1.52载入脚本的时候,要出2个错误,然后才能正常跑,不知是什么bug


这个是1.52和ICE hideod冲突了,我在想办法.呵呵
暂时将Zwsetinfomationthread不钩就没有问题.
雪    币: 214
活跃值: 活跃值 (317)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
xingbing 活跃值 2007-3-24 11:44
25
0
牛人呀,这个脚本也出来了。
游客
登录 | 注册 方可回帖
返回