欧美性猛交XXXX免费看蜜桃,成人网18免费韩国,亚洲国产成人精品区综合,欧美日韩一区二区三区高清不卡,亚洲综合一区二区精品久久

打開(kāi)APP
userphoto
未登錄

開(kāi)通VIP,暢享免費電子書(shū)等14項超值服

開(kāi)通VIP

首頁(yè)

好書(shū)

留言交流

下載APP

聯(lián)系客服
自寫(xiě)腳本脫Themida
大家好!我是風(fēng)動(dòng)鳴
教程分析原理 難免會(huì )有紕漏 請大家多多指教 多多包涵


今天給大家帶來(lái)的教程是 自寫(xiě)腳本脫Themida_v2.3.5.10

脫殼環(huán)境是:學(xué)破解論壇VM XP虛擬機
http://www.xuepojie.com/thread-9253-1-1.html


做教程之前學(xué)習了sure 以下這篇教程 非常感謝sure分享

http://www.xuepojie.com/thread-13373-1-1.html
本教程的課件跟他的一致

腳本是代替人工操作,節省時(shí)間,提高效率。
我們是怎么操作的,腳本就怎么操作。
代碼邏輯加入了各種判斷,以限制腳本按照我們的操作流程走,解放我們的雙手。

腳本展示:






每個(gè)腳本寫(xiě)了實(shí)現原理,和適當的代碼注釋。
只要你懂原理,知道操作流程,你也一樣能寫(xiě)出自己的腳本!


詳細的代碼賞析 回復可見(jiàn)

本帖隱藏的內容

  1. //              OEP找法                  //
  2. // 下斷點(diǎn)bp ZwFreeVirtualMemory          //
  3. // F9 N次 直到edi反復的出現一個(gè)值。      //
  4. // 斷在ZwFreeVirtualMemory,刪除斷點(diǎn)。   //
  5. // 在代碼段(.code)下內存訪(fǎng)問(wèn)斷點(diǎn)       //
  6. // F9運行-到達OEP 記錄下eip              //
  7. ///////////////////////////////////////////
  8. //          www.xuepojie.com             //
  9. //                                       //
  10. //             by 風(fēng)動(dòng)鳴                 //
  11. //                                       //
  12. //          2015年11月17日               //
  13. //                                       //
  14. //---------------定義變量----------------//
  15. var temp
  16. //用來(lái)保存edi的值
  17. var CODE
  18. //代碼段首地址
  19. var SIZE
  20. //代碼段大小
  21. var OEP
  22. //OEP地址

  24. //-----------清除所有斷點(diǎn)--------------- //
  25. bc
  26. //清除所有斷點(diǎn)
  27. bpmc
  28. //清除內存斷點(diǎn)
  29. bphwcall
  30. //清除硬斷點(diǎn)

  32. //-------------初始化斷點(diǎn)-------------//
  33. bp 7C92D38E
  34. // xp下  bp ZwFreeVirtualMemory     

  36. jmp going
  37. // 跳到going 執行
  38. going:
  39. //初始化次數
  40. esto                     
  41. //Shift+F9 忽略所有異常運行 代替F9
  42. cmp edi,0
  43. //相等
  44. je going
  45. //否則
  46. mov temp,edi
  47. //保存edi的值
  48. esto
  49. //再運一次
  50. cmp temp,edi
  51. //如果變化了 就跳
  52. jnz  going
  53. //否則  edi到了關(guān)鍵地址
  54. msg "edi反復不變 到了關(guān)鍵地址了"
  55. bc
  56. //清除所有斷點(diǎn)

  58. //---------根據實(shí)際情況 替換 代碼段首地址和大小-------------//
  59. mov CODE,00401000
  60. //代碼段首地址
  61. mov SIZE,F7000   
  62. //代碼段大小
  63. bprm CODE,SIZE         
  64. //代碼段下內存寫(xiě)入斷點(diǎn)
  65. esto
  66. mov OEP,eip
  67. bpmc
  68. //清除內存斷點(diǎn)
  69. msg OEP
  70. ret
復制代碼
  1. //          AB特征找法                   //
  2. //    重載 代碼段下內存寫(xiě)入斷點(diǎn)          //
  3. //    F9 F7 F8                           //
  4. //    F9 直到AB出現 記錄下EIP地址        //
  5. //                                       //
  6. //        API賦值代碼地址找法            //
  7. //        我已經(jīng)定位好特特征碼了         //
  8. //         12D200FB4140FF31              //
  9. ///////////////////////////////////////////
  10. //          www.xuepojie.com             //
  11. //                                       //
  12. //             by 風(fēng)動(dòng)鳴                 //
  13. //                                       //
  14. //          2015年11月17日               //
  15. //                                       //
  16. ///////////////////////////////////////////

  18. //---------------定義變量----------------//
  19. var CODE
  20. //代碼段首地址
  21. var SIZE
  22. //代碼段大小
  23. var ONLYONEAB
  24. //AB特征地址
  25. VAR API
  26. //賦值真實(shí)API的代碼地址

  28. //-----------清除所有斷點(diǎn)-------------//
  29. bc
  30. //清除所有斷點(diǎn)
  31. bpmc
  32. //清除內存斷點(diǎn)
  33. bphwcall
  34. //清除硬斷點(diǎn)

  36. //---------根據實(shí)際情況 替換 代碼段首地址和大小-------------//
  37. mov CODE,00401000
  38. //代碼段首地址
  39. mov SIZE,F7000   
  40. //代碼段大小

  42. //-------------初始化斷點(diǎn)-------------//
  43. bpwm CODE,SIZE         
  44. //代碼段下內存寫(xiě)入斷點(diǎn)

  46. esto                     
  47. //Shift+F9 忽略所有異常運行 代替F9
  48. sti                       
  49. //F7 單步步入
  50. sto                       
  51. //F8 單步步過(guò)

  53. findAB:
  54. cmp [eip],#AB#,1
  55. //當前將要執行的代碼地址 的開(kāi)頭一個(gè)字節 是否為 AB
  56. je goOk
  57. esto  
  58. jmp findAB
  59. //跳到findAB開(kāi)頭繼續向入執行

  61. goOk:
  62. mov ONLYONEAB,eip
  63. bpmc
  64. //清除內存斷點(diǎn)
  65. msg ONLYONEAB

  67. find eip,#12D200FB4140FF31#  //搜索上面那段代碼
  68. mov  API,$RESULT //將搜索的eip地址給aa,也就是圖上的771f9處
  69. sub API,12
  70. bp API
  71. //賦值的代碼地址 處 下斷
  72. esto
  73. bc
  74. //清除所有斷點(diǎn)
  75. msg API
  76. ret
復制代碼
  1. // 原理:                                //
  2. // 殼把真實(shí)的API函數代碼寫(xiě)入到自己申請的 //
  3. // 地址 再在代碼段里自己來(lái)調用           //
  4. // 所以我們要做的就是:                  //
  5. // 在殼在代碼段里寫(xiě)入調用自己函數調用后  //
  6. // 替換回真實(shí)的調用地址                  //
  7. // 替換后的兩種情況:                    //
  8. // call dword ptr ds:[IAT表函數地址]     //
  9. // jmp dword ptr ds:[IAT表函數地址]      //
  10. //                                       //
  11. //          www.xuepojie.com             //
  12. //                                       //
  13. //             by 風(fēng)動(dòng)鳴                 //
  14. //                                       //
  15. //          2015年11月17日               //
  16. //                                       //
  17. //---------------定義變量----------------//
  18. var REALAPI
  19. //真實(shí)的API函數地址
  20. var IATAPI
  21. //IAT表函數地址
  22. var REPLACE
  23. //替換代碼的地址
  24. var RECALL
  25. //替換成 call dword ptr ds:[地址] 的特征碼
  26. var REJMP
  27. //修改成 jmp dword ptr ds:[地址] 的特征碼
  28. var API
  29. //賦值API的代碼地址
  30. var CODE
  31. //代碼段首地址
  32. var SIZE
  33. //代碼段大小
  34. var ONLYONEAB
  35. //AB特征地址
  36. var OEP
  37. //OEP地址

  39. //-----------清除所有斷點(diǎn)-------------//
  40. bc
  41. //清除所有斷點(diǎn)
  42. bpmc
  43. //清除內存斷點(diǎn)
  44. bphwcall
  45. //清除硬斷點(diǎn)

  47. //------------替換實(shí)際的地址-------------//
  48. mov API,00709E7C
  49. //賦值API的代碼地址
  50. mov CODE,00401000
  51. //代碼段首地址
  52. mov SIZE,F7000   
  53. //代碼段大小
  54. mov ONLYONEAB,00709C55
  55. //獨一無(wú)二AB特征地址
  56. mov OEP,00466C98
  57. //OEP地址

  59. //-------替換的特征碼-------------//
  60. mov RECALL,15FF
  61. mov REJMP,25FF

  63. //-------------初始化斷點(diǎn)-------------//
  64. bphws API,"x"        
  65. //賦值api真實(shí)地址下硬件斷點(diǎn)
  66. bphws OEP,"x"        
  67. //程序入口OEP下硬件斷點(diǎn)
  68. bpwm CODE,SIZE         
  69. //代碼段下內存寫(xiě)入斷點(diǎn)

  71. //-------------開(kāi)始修復----------------//
  72. esto                     
  73. //Shift+F9 忽略所有異常運行
  74. //異常界面設置好  可以用 run F9 運行 代替】
  75. sti                       
  76. //F7 單步步入
  77. sto                       
  78. //F8 單步步過(guò)
  79. esto                  

  81. strat:
  82. mov [IATAPI],REALAPI
  83. //把 真實(shí)的API地址 寫(xiě)入 IAT表函數地址
  84. jmp strat2

  86. strat2:
  87. mov REALAPI,eax
  88. //記錄下一個(gè) 真實(shí)的API地址
  89. esto
  90. cmp eip,API
  91. //當前要執行的代碼地址 與 將要賦值API的代碼地址 做比較
  92. je strat2
  93. //相等就跳
  94. mov IATAPI,edx
  95. //IAT表函數地址
  96. esto
  97. mov [IATAPI],REALAPI
  98. //在 IAT表函數地址 里 填充 真實(shí)的API地址
  99. cmp eip,API
  100. je strat
  101. cmp [eip],AA,1
  102. je foriat
  103. cmp eip,OEP
  104. je end
  105. jmp foriat

  107. //循環(huán)修復IAT
  108. foriat:
  109. cmp [eip],#880B#,2
  110. je foriat2
  111. cmp eip,OEP
  112. je end
  113. cmp al,e9
  114. je foriate9
  115. cmp al,e8
  116. je foriate8
  117. mov REPLACE,edi
  118. //下一個(gè) 替換代碼的地址 = edi
  119. esto
  120. cmp al,e8
  121. //修復FF15標簽
  122. je foriate8x
  123. //修復FF25標簽
  124. jmp foriate9x

  126. foriat2:
  127. mov REPLACE,ebx
  128. cmp al,e8
  129. je iat1
  130. cmp al,e9
  131. je iat2
  132. cmp cl,e8
  133. je iat1
  134. jmp iat2

  136. //修復FF15
  137. iat1:
  138. esto
  139. //運行之后 填充了 E8
  140. esto
  141. //運行之后  填充了 call的地址
  142. //綜合效果是 殼生成了自己的函數代碼后 在代碼段來(lái)調用

  144. //下面就到我們來(lái)修復了
  145. mov [REPLACE],RECALL
  146. //往 替換代碼的地址(目標地址) 替換兩字節 為 FF15
  147. add REPLACE,2
  148. //向后移兩位
  149. mov [REPLACE],IATAPI
  150. //替換為 IAT函數表的地址
  151. //修改完后的效果為:call dword ptr ds:[0x487600]
  152. cmp eip,API
  153. je strat
  154. cmp eip,OEP
  155. je end
  156. jmp foriat

  158. //同修復FF25
  159. iat2:
  160. esto
  161. esto
  162. mov [REPLACE],REJMP
  163. add REPLACE,2
  164. mov [REPLACE],IATAPI
  165. cmp eip,API
  166. je strat
  167. cmp eip,OEP
  168. je end
  169. jmp foriat

  171. foriate8:
  172. mov REPLACE,edi
  173. esto
  174. esto
  175. mov [REPLACE],RECALL
  176. //替換成 FF 15
  177. //等價(jià)于call dword ptr ds:[IAT表函數地址]
  178. add REPLACE,2
  179. //替換代碼的地址加2(就是向后移兩位)
  180. mov [REPLACE],IATAPI
  181. //替換為IAT表函數的地址
  182. cmp eip,API
  183. je strat
  184. jmp foriat

  186. //循環(huán)修復FF15標簽 修改完后的效果為:call dword ptr ds:[0x487600]
  187. foriate8x:
  188. esto
  189. //運行之后 殼已經(jīng)把 E8 寫(xiě)入代碼段指定地址 如:【E8 90909090】
  190. esto
  191. //運行之后 殼已經(jīng)把 真實(shí)的API地址 填充到代碼段指定地址
  192. //如:【E8 BB087076】 就是 call 76B2A4EE = call winmm.midiStreamOut

  194. //下面就到我們來(lái)修復了
  195. mov [REPLACE],RECALL
  196. //往 替換代碼的地址(目標地址) 替換兩字節 為 FF15
  197. add REPLACE,2
  198. //向后移兩位
  199. mov [REPLACE],IATAPI
  200. //替換為 IAT函數表的地址
  201. //修改完后的效果為:call dword ptr ds:[0x487600]
  202. cmp eip,API
  203. je strat
  204. jmp foriat

  206. foriate9:
  207. mov REPLACE,edi
  208. esto
  209. jmp doiate9

  211. doiate9:
  212. esto
  213. cmp eip,ONLYONEAB
  214. jnz doiate9
  215. esto
  216. mov [REPLACE],REJMP
  217. add REPLACE,2
  218. mov [REPLACE],IATAPI
  219. jmp strat

  221. //循環(huán)修復FF25標簽
  222. foriate9x:
  223. esto
  224. //運行之后 殼已經(jīng)把 E9 寫(xiě)入代碼段指定地址 如:【E9 90909090】
  225. esto
  226. //運行之后 殼已經(jīng)把 真實(shí)的API地址 填充到代碼段指定地址
  227. //如:【E9 A7915F71】 就是 jmp 71A23FED

  229. //下面就到我們來(lái)修復了
  230. mov [REPLACE],REJMP
  231. //往 替換代碼的地址(目標地址) 替換兩字節 為 FF25
  232. add REPLACE,2
  233. //向后移兩位
  234. mov [REPLACE],IATAPI
  235. //替換為 IAT函數表的地址
  236. //修改完后的效果為:jmp dword ptr ds:[0x487660]
  237. cmp eip,API
  238. je strat
  239. cmp [eip],AA,1
  240. je foriat
  241. cmp eip,OEP
  242. je end
  243. jmp strat

  245. end:
  246. bc
  247. bpmc
  248. bphwcall
  249. MSG "到達OEP IAT修復完畢"
  250. ret
復制代碼


具體脫殼流程:









































總結:學(xué)脫殼,先學(xué)寫(xiě)腳本——這是我的見(jiàn)解
許多大牛都分享了各種脫殼腳本,腳本是脫殼全過(guò)程的體現,濃縮了作者的脫殼思路,對殼的實(shí)現原理的理解。
所以要重視腳本,別把大牛分享的腳本只當成脫殼工具。
腳本適用范圍小,而讀懂腳本原理 你就能脫它不能脫的殼,你才是腳本的創(chuàng )作者!

腳本代碼我是一步一步跟的,通過(guò)耐心跟蹤 觀(guān)察各種數據,總結經(jīng)驗。

希望對大家有所啟發(fā)。


不怎么會(huì )表達 請大家見(jiàn)諒。

課件工具和腳本分享:

本帖隱藏的內容

鏈接:http://pan.baidu.com/s/1hqlTiAC 密碼:tm9j
自寫(xiě)腳本脫Themida_v2.3.5.10.rar(7.93 MB, 下載次數: 53)
本站僅提供存儲服務(wù),所有內容均由用戶(hù)發(fā)布,如發(fā)現有害或侵權內容,請點(diǎn)擊舉報。
打開(kāi)APP,閱讀全文并永久保存 查看更多類(lèi)似文章
猜你喜歡
類(lèi)似文章
OD學(xué)習
ODbgScript 入門(mén)系列(二) ODbgScript的命令
逆向基礎——軟件手動(dòng)脫殼技術(shù)入門(mén)
惡意樣本分析手冊——常用方法篇
詳解OD腳本的寫(xiě)法續之進(jìn)階篇
chrome調試工具高級不完整使用指南(實(shí)戰二)
更多類(lèi)似文章 >>
生活服務(wù)
分享 收藏 導長(cháng)圖 關(guān)注 下載文章
綁定賬號成功
后續可登錄賬號暢享VIP特權!
如果VIP功能使用有故障,
可點(diǎn)擊這里聯(lián)系客服!

聯(lián)系客服

欧美性猛交XXXX免费看蜜桃,成人网18免费韩国,亚洲国产成人精品区综合,欧美日韩一区二区三区高清不卡,亚洲综合一区二区精品久久