guyuelang 发表于 2008-6-10 18:39:24

求助,一个Themida/WinLicense V1.8.2.0的壳,tmd壳都很难脱啊

我用PEID查了下是Themida/WinLicense V1.8.2.0
用tmdunpacker能脱出来两个 但都不能用
用ollyice加脚本脱的话就跳出一句
A debugger has been found running in your system.please,unload it from memory and restart your program.
是不是检测了OLLYICE?
求高手指点下该怎么才能脱壳
万分感谢!!
软件下载地址是http://www.bot369.cn/download/SROBotFullEnChs1.91.exe

[ 本帖最后由 guyuelang 于 2008-6-10 18:48 编辑 ]

yunfeng 发表于 2008-6-10 21:50:18

重新换一个调试器看看。

glts 发表于 2008-6-10 23:04:21

自己查下资料吧~程序太大下载困难~

guyuelang 发表于 2008-6-11 11:04:29

难得老大都来看看了 可...你家住哪 我送来好不好/:011
老大不是很大啊 我两分钟就下完了饿 对方的服务器很快滴
目前学习OLLYICE比较多哦 其他不知道哪个比较好用

[ 本帖最后由 guyuelang 于 2008-6-11 11:07 编辑 ]

guyuelang 发表于 2008-6-11 22:17:04

原来Themida/WinLicense.V1.8.2.0,Oreans Technologies利用了OllyDBG未公开的一个浮点指令漏洞来使得OllyDBG崩溃。用OD隐藏插件能脱 就是没有找到这个插件

小生我怕怕 发表于 2008-6-12 02:52:23

楼主你的这个壳是Themida/WinLicense1970版本!

guyuelang 发表于 2008-6-12 15:22:00

啊?不是吧 看来更新了 我用的PEIDv0.94还用的最新的库
查出来是Themida/WinLicense V1.8.2.0 +-> Oreans Technologies   * Sign.By.fly *

guyuelang 发表于 2008-6-24 13:34:45

这个壳很难啊 为什么我用什么脚本都到一个地方就不动了?脚本也不能执行了
008FF1D8    AB            stos    dword ptr es:
008FF1D9    7F 34         jg      short 008FF20F
008FF1DB    57            push    edi
008FF1DC    47            inc   edi
008FF1DD    B6 A9         mov   dh, 0A9
008FF1DF    D1BE 5BFCB501   sar   dword ptr , 1
008FF1E5    50            push    eax
008FF1E6    50            push    eax
008FF1E7    E9 09000000   jmp   008FF1F5
008FF1EC    D026            shl   byte ptr , 1
008FF1EE    F4            hlt
008FF1EF^ 76 C1         jbe   short 008FF1B2
008FF1F1    8A244A          mov   ah, byte ptr
008FF1F4    1258 89         adc   bl, byte ptr
008FF1F7    04 24         add   al, 24
008FF1F9    B6 49         mov   dh, 49
008FF1FB    FF95 D11B1206   call    dword ptr
008FF201    03BD E92C1206   add   edi, dword ptr    ///到这里就不动了
008FF207    8D9D 74E32406   lea   ebx, dword ptr
008FF20D    50            push    eax
008FF20E    E9 09000000   jmp   008FF21C
008FF213    2C 39         sub   al, 39
008FF215    74 50         je      short 008FF267
008FF217^ 77 C4         ja      short 008FF1DD
008FF219    E7 DF         out   0DF, eax
008FF21B    BD 891C240F   mov   ebp, 0F241C89
008FF220    8301 00         add   dword ptr , 0
008FF223    0000            add   byte ptr , al
008FF225    F9            stc
008FF226    50            push    eax
008FF227    E9 10000000   jmp   008FF23C
008FF22C    0C 63         or      al, 63
008FF22E    78 3D         js      short 008FF26D
008FF230    E1 34         loopdeshort 008FF266
008FF232    61            popad
008FF233    43            inc   ebx
008FF234    73 0B         jnb   short 008FF241
008FF236    63A9 04DC75D3   arpl    word ptr , bp
008FF23C    890424          mov   dword ptr , eax
008FF23F    6A 00         push    0
008FF241    56            push    esi
008FF242    E8 03000000   call    008FF24A
008FF247    205E C3         and   byte ptr , bl
008FF24A    5E            pop   esi
008FF24B    897424 04       mov   dword ptr , esi
008FF24F    814424 04 1B000>add   dword ptr , 1B
008FF257    46            inc   esi
008FF258    56            push    esi
008FF259    C3            retn
页: [1]
查看完整版本: 求助,一个Themida/WinLicense V1.8.2.0的壳,tmd壳都很难脱啊