手动脱简单的虚拟机壳(themida)

最新推荐文章于 2024-02-19 18:30:00 发布
最新推荐文章于 2024-02-19 18:30:00 发布
阅读量878 收藏 1
点赞数
CC 4.0 BY-SA版权
文章标签: 运维
原文链接:http://blog.51cto.com/haidragon/2121729
本文详细介绍了一种破解带有反虚拟机技术保护的程序的方法。包括如何修改配置以禁用特定功能、寻找程序的原始入口点(OEP)、修复导入地址表(IAT)以及进行脱壳处理等关键步骤。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1.它有反虚拟机 在vm中要修改下配置 配置代码在最后面
2.查找什么写的
手动脱简单的虚拟机壳(themida)
3.找OEP 有下断到 GetVersion 或者找 sub esp,0x58 这里要到401000那去搜索 不然找不到 有可能同时先要程序运行起来
直接搜索没有
手动脱简单的虚拟机壳(themida)
定位到0x401000也没有
手动脱简单的虚拟机壳(themida)
运行进来就有了
手动脱简单的虚拟机壳(themida)
点下发现还是条花指令同时 不像OEP (因为它偷取了OEP)
手动脱简单的虚拟机壳(themida)
nop一条 就是oep
手动脱简单的虚拟机壳(themida)
通过对比没有偷取 OEP的程序发现少了不少指令
但只要还原俩条就可以了 (一定要还原 不然修改iat后运行不了)
手动脱简单的虚拟机壳(themida)
就里又要注意了不能现在就修复IAT 因为程序跑起来的因此 在OEP下断 一般下硬件的 断到入口再 修复
手动脱简单的虚拟机壳(themida)
发现软件断点去了
手动脱简单的虚拟机壳(themida)
那就下硬件的 断下来了
手动脱简单的虚拟机壳(themida)
改下指令
手动脱简单的虚拟机壳(themida)
修复 IAT 这里又是一个坑不能简单的填代码段的结束(不然修复时程序直接报错)
手动脱简单的虚拟机壳(themida)
到401000查看所有模块间的调用 填最后一个函数的地址
手动脱简单的虚拟机壳(themida)
还有一点是填新的IAT时也要注意这个程序 填439000也报错 填438000可以
手动脱简单的虚拟机壳(themida)
修改IAT后到这里就可以dump了 OEP为 94a0
手动脱简单的虚拟机壳(themida)
再修复导入表 有一个点要注意的是大小填多点 这是我自己填的1000默认为500
手动脱简单的虚拟机壳(themida)
脱壳完成 破解就比较简单了
手动脱简单的虚拟机壳(themida)
在vmx文件最后加上 脱完要改回来 因为变卡了
配置:

isolation.tools.getPtrLocation.disable="TRUE"
isolation.tools.setPtrLocation.disable="TRUE"
isolation.tools.getVersion.disable="TRUE"
isolation.tools.setVersion.disable="TRUE"
monitor_control.disable_directexec = "TRUE"
monitor_control.disable_chksimd = "TRUE"
monitor_control.disable_ntreloc = "TRUE"
monitor_control.disable_selfmod = "TRUE"
monitor_control.disable_reloc = "TRUE"
monitor_control.disable_btinout = "TRUE"
monitor_control.disable_btmemspace = "TRUE"
monitor_control.disable_btpriv = "TRUE"
monitor_control.disable_btseg = "TRUE"

usb:0.present = "TRUE"
usb:0.deviceType = "hid"
usb:0.port = "0"
usb:0.parent = "-1"

转载于:https://blog.51cto.com/haidragon/2121729

脱壳机Themida类)大全
05-17
Themnet Unpacker_original.exe tmdunpacker.exe UnThemida 1.0.exe UnThemida 2.0.exe UnThemida 3.0.exe
Themida / Winlicense (TM / WL)壳总结
zhw309的专栏
07-11 6668
<br />     总体感觉Themida / Winlicense 壳的强度会比ZP强些(呵呵,个人看法,别拍砖),但是再猛的壳也经不过时间的蹉跎,毕竟一个加壳程序放出来后它是死的,经过反复的研究和比较最终会知道它里面的奥秘。<br />     总结下Themida / Winlicense (TM /  WL) 的壳方法。<br />    1, 查看壳版本,这个方法手动也可以,因为这个壳的版本号是写在程序里面的,在解压后下断点即可查看,这里有通用的脚本,我就不再罗嗦了,跟着脚本学吧,使用方法很简
Themida / Winlicense (TM / WL)壳总结,Themida壳,Winlicense壳各个版本区别总结
热门推荐
zhw309的专栏
04-23 2万+
个人总结,不一定十分准确,请勿引用! (一), Themida和不用license的Winlicense壳就不说了,直接上脚本壳。   (二), 先看看不同版本OEP的一些小特征: 2.1.X.X版本之后的OEP特征(2.0.8.0,2.1.0.10,2.1.3.32等)   2.1版本之前的OEP特征,如(2.0.3.0,1.8.2.0,1.885等):   Te
HZNUCTF REVERSE TMD题解——Themida壳,使用unlicense工具
xnxqwzy的博客
02-19 1612
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
UnThemida 3.0 最新脱壳机(完美快Themida类壳)
05-16
UnThemida 3.0 最新脱壳机完美快Themida类壳
Themida3.0.4
11-24
Themida v3.0.4.0 支持32与64位,和谐过的,懂的都懂!强壳,支持.net,.net dll等.一键式加壳
Themida v3.1.8.0
最新发布
11-06
Themida v3.1.8.0是一款先进的加密工具,主要用于软件保护和防逆向工程。在软件安全领域,它扮演着重要的角色,通过复杂和多层次的加密技术,使得被保护的软件难以被破解和修改。Themida的这一版本,即v3.1.8.0,...
病毒加壳免杀工具之Themida
01-11
虚拟化: Themida通过将代码部分虚拟化,使得破解者难以理解和还原原始代码结构,从而提高了软件的安全性。 加密保护: Themida使用加密算法来保护程序的关键部分,使得攻击者更难以理解和修改程序的核心逻辑。 缺点...
程序加密保护工具 Themida 2.3.9.0 中文多语免费版.zip
05-16
Themida 是一个强劲的保护系统, 专为了那些想保护自己的程式不被先进的反向工程和黑客软件免费的软件开发者而开发的。开发者不需要更改任何的原代码,和不需要程式编制的经验使用 WinLicense。 Themida 使用 ...
Themida-v3.0.4.0
09-06
Themida_v3.0.4.0安装包,9.9包邮,解压下来就可以使用,和谐过的,你的懂的,不懂我也没办法了,懂的就下载吧。
Themida壳.rar
07-20
Themida壳脚本:https://www.52pojie.cn/thread-290732-1-1.html
Themida 自动脱壳机
09-22
Themida 自动脱壳机,其它地方下载要10分,我这里只收4分。
Themida/Winlicense 自动脱壳机 v1.0
01-15
Themida/Winlicense 自动脱壳机 v1.0自动Themida/Winlicense加的壳
Themida - Winlicense Ultra Unpacker 壳教程
05-08
1. 利用 Odbg110 掉 WinLicense1.x—2.x的加密壳 软件:OD 插件:ODBGScript v1.82.6、StrongOD 0.4.8.892、PhantOm 1.79、ARImpRec.dll、 壳脚本(Themida - Winlicense Ultra Unpacker 1.4) 2. 查壳软件ExeinfoPE 3. 其要用的插件有:ODbgScript、PhantOm、StorngOD,这些插件我已经在压缩包里面准备好了,请大家尽情享用。 4. 还有一点要叮嘱的就是,如果的是32位系统的壳,请在32位系统中进行操作,不然会有意想不到的错误出现。 5. 所需要的所有插件及脚本都已经放置到软件包中了! 6. 重要内容说三遍:关闭杀毒软件*10000!哈哈!
Themida WinLicense V1.8.X-V2.X最佳壳工具
10-17
Themida WinLicense V1.8.X-V2.X最佳壳工具
总结Themida / Winlicense加壳软件的壳方法
sb360doc的专栏
08-26 3654
总结下Themida / Winlicense (TM /  WL) 的壳方法。    1, 查看壳版本,这个方法手动也可以,因为这个壳的版本号是写在程序里面的,在解压后下断点即可查看,这里有通用的脚本,我就不再罗嗦了,跟着脚本学吧,使用方法很简单,直接运行脚本即可。(脚本我也已传在资源中,可在文章结尾获得下载地址)     2,对于 Ver 1.1.0.0 - 2.1.0.0的
themida(1.8.5.5)加密VC++程序的完美
08-19 2695
 --------------------------------------------------------------------------------【详细过程】       我经过探索实现了对Themida(1.8.5.5版)加密VC++程序的完美壳.如果文中的方法只适用于这个特例,则本文就毫无价值....,我把我的方法提供给大家研究,对象是想升级的菜鸟们,请高手不要嘲笑我对脚本或
Themida 1.8.X 壳之泡泡堂不死外挂3.16
weixin_34025151的博客
01-07 1383
Themida 1.8.X 壳之泡泡堂不死外挂3.16 Themida 1.8.X 壳之泡泡堂不死外挂3.16 首先用PEID查下壳:什么也没发现,看区段名有Themida 字样,初步估计应该是1.8.X的。 载入后隐藏我们的OD,在代码段下内存写入断点 0041D014 &gt;  B8 00000000     MOV EAX,0                  ...
Themida最新版本加壳软件分析
2. 虚拟机技术:Themida内置了一个虚拟机,它在执行被加壳程序时会创建一个虚拟环境。原始代码被编译成虚拟机的指令集,运行时由虚拟机解释执行,这大大增加了逆向工程的难度。 3. 多态和变形技术:Themida可以实现...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值