Themida / Winlicense (TM / WL)脱壳总结,Themida脱壳,Winlicense脱壳各个版本Safengine区别总结
個人總結,不一定十分準確,請勿引用!
(一),
Themida和不用license的Winlicense脫殼就不說了,直接上腳本脫殼。
(二),
先看看不同版本OEP的一些小特征:
2.1.X.X版本之后的OEP特征(2.0.8.0,2.1.0.10,2.1.3.32等)
2.1版本之前的OEP特征,如(2.0.3.0,1.8.2.0,1.885等):
Temida OEP特征:如(2.0.3.0,)
一,對于Winlicense2.1.0.10及其以下版本,不用license,可自己隨意構造一個license直接bypass.然后脫殼。
bypass過程
1, 先獲得license名稱,自己隨便構造一個license,然后OD運行程序,彈出提示窗口后獲得JMP的首地址:FirstJmpAddress。
2, 下FirstJmpAddress硬件斷點,重新運行程序,中斷后,在第二個jmp,enter進入,然后搜索cmp ecx,eax,下斷點,運行,中斷在CmpEcxEaxAddress。
3, 運行幾次后,會得到eax,ecx不同的值,其中eax為正確的checkword,把eax值賦給ecx即可。共有兩次不同,所以有兩個checkword。
4, 搜索kenrel.dll的首地址,本機為7c800000, ctrl+B,輸入:00 00 80 7C。再搜索dll地址的第二個地址,可以獲得SecondDllAddress。在改完第二個checkword后,把SecondDllAddress更改為首個dll地址,運行即可bypass.
二,2.1.X.X版本之后的OEP特征(2.0.8.0,2.1.0.10,2.1.3.32等):
bypass過程:
1,需要一個可用license
第1,2步驟與以上相同.
第3個步驟中,只有一個checkword,但是這個checkword值也有兩次校驗,分別賦給ecx即可bypass.
三,還碰到過一種bypass,是需要不斷監控eax和SecondDllAddress 值的,不知道屬于哪個版本。可看教程WinLicense ByPass For SecondDllAddress.
以上三種版本bypass過程需要如何分辨,主要看cmp ecx,eax時候的值來辨別!
Winlicense脫殼過程:
把bypass的script插入zhw hwid Themida - Winlicense 1.x - 2.x Multi PRO Edition 1.2.txt中即可實現bypass加脫殼。
搜索/*zhw bypass */部分可看到插入的script.
以上過程如有補充或疑問,可問QQ: 492227110, 對軟件破解、Winlicense脫殼,Zprotect脫殼,Safengine 網絡驗證破解等有一定的研究。
總結
以上是生活随笔為你收集整理的Themida / Winlicense (TM / WL)脱壳总结,Themida脱壳,Winlicense脱壳各个版本Safengine区别总结的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 以太网MAC帧结构与数据填充
- 下一篇: Axure元件-动态面板介绍