Themida和Winlicense加壳软件脱壳教程

最新推荐文章于 2025-05-06 14:24:57 发布
原创 最新推荐文章于 2025-05-06 14:24:57 发布 · 6.3k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细介绍了如何对使用Themida和不同版本Winlicense加壳的软件进行脱壳,包括识别OEP特征,构造或修改license以绕过校验,并提供了具体的bypass步骤。此外,还提到了针对Winlicense的脱壳脚本应用方法。

(一)Themida和不用license的Winlicense加壳软件就不说了,直接上脚本脱壳。

 (二)先看看不同版本OEP的一些小特征:

Temida2.1.X.X版本之后的OEP特征(2.0.8.0,2.1.0.10,2.1.3.32等)

Temida2.1.X.X版本之后的OEP特征

 

Temida2.1版本之前的OEP特征,如(2.0.3.0,1.8.2.0,1.885等):

Temida2.1版本之前的OEP特征

 

Temida OEP特征:如(2.0.3.0,)

Temida OEP特征

   

一,对于Winlicense2.1.0.10及其以下版本,不用license,可自己随意构造一个license直接bypass.然后脱壳。

bypass过程

1, 先获得license名称,自己随便构造一个license,然后OD运行程序,弹出提示窗口后获得JMP的首地址:FirstJmpAddress。

2, 下FirstJmpAddress硬件断点,重新运行程序,中断后,在第二个jmp,enter进入,然后搜索cmp ecx,eax,下断点,运行,中断在CmpEcxEaxAddress。

3, 运行几次后,会得到eax,ecx不同的值,其中eax为正确的checkword,把eax值赋给ecx即可。共有两次不同,所以有两个checkword。

4, 搜索kenrel.dll的首地址,本机为7c800000, ctrl+B,输入:00 00 80 7C。再搜索dll地址的第二个地址,可以获得SecondDllAddress。在改完第二个checkword后,把SecondDllAddress更改为首个dll地址,运行即可bypass.

 

二,2.1.X.X版本之后的OEP特征(2.0.8.0,2.1.0.10,2.1.3.32等):

bypass过程:

1,需要一个可用license

第1,2步骤与以上相同.

第3个步骤中,只有一个checkword,但是这个checkword值也有两次校验,分别赋给ecx即可bypass.

 三,还碰到过一种bypass,是需要不断监控eax和SecondDllAddress 值的,不知道属于哪个版本。可看教程WinLicense ByPass For SecondDllAddress.

 以上三种版本bypass过程需要如何分辨,主要看cmp ecx,eax时候的值来辨别!

 Winlicense脱壳过程:

把bypass的script插入zhw hwid Themida - Winlicense 1.x - 2.x Multi PRO Edition 1.2.txt中即可实现bypass加脱壳。

搜索/*zhw bypass   */部分可看到插入的script.

原文来自:http://www.jiamikong.com/doc/3724

sb360doc
关注
Themida是先进的Windows软件保护系统
goldksoft的博客
11-03 964
​ 借助 Themida®,我们将重点放在软件保护程序的主要弱点上,从而提供了一个完整的解决方案来克服这些问题。Themida® 使用 SecureEngine® 保护技术,当以最高优先级运行时,实施前所未有的保护技术来保护应用程序免受高级软件破解。 ​
[逆向工程]Themida 3.1.8.0 加壳技术深度解析:从原理到实战防护(九)
曼岛_的博客
04-14 2520
Themida 3.1.8.0 加壳技术深度解析:从原理到实战防护
Themida/WinLicense自动脱壳
05-17
Themida/WinLicense 自动脱壳
Themida / Winlicense (TM / WL)脱壳各个版本区别总结
weixin_33921089的博客
10-18 1040
以下仅为个人总结,不一定十分准确,请勿引用! (一), Themida不用license的Winlicense脱壳就不说了,直接上脚本脱壳。 (二), 先看看不同版本OEP的一些小特征: 2.1.X.X版本之后的OEP特征(2.0.8.0,2.1.0.10,2.1.3.32等) 2.1版本之前的OEP特征,如(2.0.3.0,1.8.2.0,1...
总结Themida / Winlicense加壳软件脱壳方法
sb360doc的专栏
08-26 4036
总结下Themida / Winlicense (TM /  WL) 的脱壳方法。    1, 查看壳版本,这个方法手动也可以,因为这个壳的版本号是写在程序里面的,在解压后下断点即可查看,这里有通用的脚本,我就不再罗嗦了,跟着脚本学吧,使用方法很简单,直接运行脚本即可。(脚本我也已传在资源中,可在文章结尾获得下载地址)     2,对于 Ver 1.1.0.0 - 2.1.0.0的
Themida/Winlicense 自动脱壳机 v1.0
01-15
Themida/Winlicense 自动脱壳机 v1.0自动脱Themida/Winlicense加的壳
加密解密:脱壳手记---Themida(2.1.2.0)分享.pdf
02-16
加密解密:脱壳手记---Themida(2.1.2.0)分享.pdf
themida/winlicense脱壳
最新发布
06-25
Themida WinLicense 是广泛用于软件保护的工具,其主要功能是通过加壳技术来防止逆向工程。然而,在某些合法场景下(如安全研究、漏洞分析等),需要对这些被保护的程序进行脱壳操作以恢复原始代码[^1]。 #### 1...
Themida/WinLicense自动脱壳工具V1.8.X-V1.9.X使用指南
软件开发者为了保护他们的应用程序免遭破解、分析或是盗版等风险,会使用加壳软件(如Themida/WinLicense)将程序代码资源进行压缩加密,这样原始的可执行文件就无法直接被分析理解。脱壳机的作用就是去除...
Themida v3.1.8.0
11-06
Themida v3.1.8.0是一款先进的加密工具,主要用于软件保护防逆向工程。在软件安全领域,它扮演着重要的角色,通过复杂多层次的加密技术,使得被保护的软件难以被破解修改。Themida的这一版本,即v3.1.8.0,...
Themida - Winlicense Ultra Unpacker 脱壳教程
05-08
1. 利用 Odbg110 脱掉 WinLicense1.x—2.x的加密壳 软件:OD 插件:ODBGScript v1.82.6、StrongOD 0.4.8.892、PhantOm 1.79、ARImpRec.dll、 脱壳脚本(Themida - Winlicense Ultra Unpacker 1.4) 2. 查壳软件ExeinfoPE 3. 其要用的插件有:ODbgScript、PhantOm、StorngOD,这些插件我已经在压缩包里面准备好了,请大家尽情享用。 4. 还有一点要叮嘱的就是,如果脱的是32位系统的壳,请在32位系统中进行操作,不然会有意想不到的错误出现。 5. 所需要的所有插件及脚本都已经放置到软件包中了! 6. 重要内容说三遍:关闭杀毒软件*10000!哈哈!
Themida Winlicense不用修复VM_OEP脱壳教程.rar
03-28
Themida Winlicense脱壳教程 视频 TMD/WL入口点查找方法 1. .text段下内存写入断点,shift+F9,取消内存断点. 2. bp GetProcessHeap+C,F9,取消断点. 3. .text段下F2断点,F9到oep或者oep的第一个call里面的位置. 这里补充下,去OEP的思路,壳先填充数据,然后填充IAT,然后开始模拟OEP代码,这样下去的. 这是我自己总结的经验,我们先到OEP去看看,这里大家熟悉吧,Delphi 第一个call里面的内容,我不说这么来的了,这个以前很多教程说过,可以搜索下,吾爱有很多.我们看下IAT的情况,IAT被变形了,为了节省时间可以直接用UIF修复IAT。我们现在先修复下IAT,然后Dump一份修复IAT保存下来,IAT修复好了,我们来Dump,入口点我们先修复成这个第一个call的地方.好,dump修复完了,下面就开始关键了,我们继续F8走
Themida WinLicense V1.8.X-V2.X最佳脱壳工具
11-07
Themida WinLicense V1.8.X-V2.X最佳脱壳工具 可以使用
Themida/WinLicense V1.8.2.0 脱壳 工具
03-05
Themida/WinLicense V1.8.2.0 脱壳 工具
Themida 自动脱壳
12-05
支持1.8x.2.x
Themida3.0.4
11-24
Themida v3.0.4.0 支持32与64位,谐过的,懂的都懂!强壳,支持.net,.net dll等.一键式加壳
Themida / Winlicense (TM / WL)脱壳总结
zhw309的专栏
07-11 6794
<br />     总体感觉Themida / Winlicense 壳的强度会比ZP强些(呵呵,个人看法,别拍砖),但是再猛的壳也经不过时间的蹉跎,毕竟一个加壳程序放出来后它是死的,经过反复的研究比较最终会知道它里面的奥秘。<br />     总结下Themida / Winlicense (TM /  WL) 的脱壳方法。<br />    1, 查看壳版本,这个方法手动也可以,因为这个壳的版本号是写在程序里面的,在解压后下断点即可查看,这里有通用的脚本,我就不再罗嗦了,跟着脚本学吧,使用方法很简
Themida / Winlicense (TM / WL)脱壳总结,Themida脱壳Winlicense脱壳各个版本区别总结
热门推荐
zhw309的专栏
04-23 2万+
个人总结,不一定十分准确,请勿引用! (一), Themida不用license的Winlicense脱壳就不说了,直接上脚本脱壳。   (二), 先看看不同版本OEP的一些小特征: 2.1.X.X版本之后的OEP特征(2.0.8.0,2.1.0.10,2.1.3.32等)   2.1版本之前的OEP特征,如(2.0.3.0,1.8.2.0,1.885等):   Te
【亲测免费】 Themida/WinLicense自动脱壳
gitblog_06798的博客
05-06 975
Themida/WinLicense自动脱壳机 【下载地址】ThemidaWinLicense自动脱壳Themida/WinLicense自动脱壳机是一款高效的工具,专为处理ThemidaWinLicense保护的软件而设计。这两款保护工具广泛应用于防止逆向工程,但有时用户需要对被保护的软件进行合法研究。该脱壳机能...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值