themida脫殼腳本

Ⅰ 【求助】themida 18.2(internal exception occured )

呼。總算是解決上述的問題，可以跑腳本了。按照看雪論壇上knightsoft的教程補充oep，然後脫殼。使用peid檢驗PESniffer：ms VC60PEiDDSCAN：ms vc60可搜卜飢是嘗試運行程序世返卻不成功。不知道是需要自校驗還是其他的原因。因為在peid的擴展信息弊尺中平均信息：7.03（壓縮）。有沒有給指點下！！該怎麼做！！

Ⅱ 脫themida/winlicense殼成功不能運行程序怎樣修復

不能運行說明脫殼腳本不是萬能的，網上的脫殼腳本最多也就是能修復大部分iat表，找到oep，不能運行的原因有很多種，有的是因為有代碼加密，到oep這的時候，代碼還是加密的，脫殼後解密不了，需要跟蹤找到進行解密。還有就是部分iat修復錯誤，或者直接沒修復，導致程序崩潰，這種情況比較多，需要找出來修復。

Ⅲ 怎麼裝載themida 的脫殼腳本

從LZ口氣得知: themida 還不是你現在可以玩得定的... 有腳本也難行走... 絕對真話... 這個殼多數靠跑腳本還不行,還是需要得手工玩玩~

Ⅳ 新手也來學脫Themida的殼，不知道怎麼修復IAT了

這戚輪個殼的確比較難脫，你可以嘗試使用現成的脫殼腳本可以搜索飯客網路，那個地方高游信有你所需要的知識學習愉磨吵快!

Ⅳ 求教.NET程序用Themida加殼後脫殼的問題

Themida要看哪個版本了，脫殼不太清楚，加殼軟體下載可以去

烏龍寺技術站

Ⅵ 脫殼Themida 1.0.x.x - 1.8.x.x (no compression) -> Oreans Technologies

1、跑腳本
2、找脫殼機
你成功脫殼運行幾率不大。
代碼VM那就沒戲了。
最好方卜鎮法就是灶櫻寫內存補丁。隱弊叢

Ⅶ Themida/Winlicense v.2.1.x.x 有沒有脫殼腳本

可以試試，LCF-AT 的腳本

帶SDK的話 ，脫殼意義不大！

Ⅷ Themida 1.9.9.0有脫殼腳本嗎

有的

///////////////////////敗塵派/////////察賀///////////
/// by fxyang ///
/// version 0.3 ///
/// 感謝 fly 的建議，海風月影 測試 ///
////////////////////////////////////////////
data:
var cbase
var csize
var dllimg
var dllsize
var mem
var getprocadd
var gatprocadd_2
var tmp
var temp

cmp $VERSION, "1.52"
jb odbgver

bphwcall
bpmc
gmi eip,CODEBASE
mov cbase,$RESULT
gmi eip,CODESIZE
mov csize,$RESULT
gmemi eip,MEMORYBASE //殼段的基地址
mov dllimg,$RESULT
log dllimg
gmemi eip,MEMORYSIZE //殼段的長度
mov dllsize,$RESULT
log dllsize

findapibase:
gpa "GetProcAddress", "kernel32.dll"
mov getprocadd,$RESULT //取GetProcAddress函數地址，用於定位加密表
cmp getprocadd,0
gpa "_lclose","kernel32.dll" //同上
mov getprocadd_2,$RESULT
gpa "GetLocalTime", "kernel32.dll" //下面代碼取自okdodo 感謝 okdodo
mov tmpbp,$RESULT
cmp tmpbp,0
je stop
bphws tmpbp ,"x"
esto
bphwc tmpbp
rtu
gpa "VirtualAlloc", "kernel32.dll"
mov tmpbp,$RESULT
cmp tmpbp,0
je stop
bphws tmpbp ,"x"
esto
bphwc tmpbp
rtu
mov apibase,eax
log apibase
gpa "LoadLibraryA", "kernel32.dll"
mov tmpbp,$RESULT
cmp tmpbp,0
je stop
bphws tmpbp ,"x"
esto

bphwc tmpbp
rtu
findVirtualAlloc:
find apibase,## //查找被虛擬的VirtualAlloc函數
mov tmpbp,$RESULT
cmp tmpbp,0
je win2003
bphws tmpbp ,"x"
jmp tmploop

win2003:
find apibase,##
mov tmpbp,$RESULT
cmp tmpbp,0
je stop
bphws tmpbp ,"x"

tmploop:
//下面代碼重新改寫
esto
cmp eax,getprocadd //定位加密表出現時機
je iatbegin
cmp eax,getprocadd_2
je iatbegin
jne tmploop

iatbegin:
esto
esto

bphwcall
rtr
sti
sti
find eip, #8BB5??????09#
mov tmpbp,$RESULT
cmp tmpbp,0
jne next1
find eip, #8BB5??????06#
mov tmpbp,$RESULT
cmp tmpbp,0
je findnext_1
next1:
bphws tmpbp ,"x"
esto

sti
var iatcalltop //加密表的首兄棚地址
var iatcallend
mov iatcalltop,esi
find iatcalltop,#00000000#
mov iatcallend,$RESULT
log iatcallend
var iatfn
var iattop
var codeadd
var antiadd
bphwcall
jmp codebegin

findnext_1:
sti
find dllimg, #FFFFFFFFDDDDDDDD#
mov tmpbp,$RESULT
cmp tmpbp,0
je notlb

var iatcalltop //加密表的首地址
var iatcallend
mov iatcalltop,$RESULT
sub iatcalltop,10
log iatcalltop
find iatcalltop,#00000000#
mov iatcallend,$RESULT
log iatcallend
var iatfn
var iattop
var codeadd
var antiadd
mov tmp,eax
mov eax,iatcalltop
mov eax,[eax]
shr eax,10
cmp ax,0
jne iatbegin_2
add iatcalltop,04
iatbegin_2:
mov eax,tmp

codebegin:
bphws iatcalltop,"r"
esto

bphwcall
find eip,#83BD????????01#
bphws $RESULT ,"x"
mov antiadd,$RESULT
esto

sti
bphwcall
mov temp,eip
mov [temp],#909090909090#
mov tmp,0
loop1:
find eip,#3B8D????????0F84#,100
bphws $RESULT ,"x"
esto

bphwcall
mov iatfn,eax //獲得函數，並修改magic jump
log iatfn
sti
mov temp,eip
mov [temp],#909090909090#
inc tmp
cmp tmp,03
je next_1
jmp loop1

next_1:
add iatcalltop,04
bphws iatcalltop,"r"
esto

bphwcall
findiataddpro: //iataddress
find eip,#0385????????#,100
bphws $RESULT,"x"
esto

sti
bphwcall
mov iattop,eax //此時EAX是iat表中函數寫入地址，然後判斷這個值最小時就是iat基地址
log iattop
mov iatcalltop,esi
bphws antiadd,"r"
esto

find eip,#3985??????0?0F84#,
mov temp, $RESULT
bphws temp,"x"
esto

bphwcall
sti
mov temp,eip
mov [temp],#90E9# //處理效驗
log temp
sub iatcallend,04
bphws iatcallend,"w"
esto

sti
sti
mov tmp,cbase
add tmp,csize

loopoep:
bprm cbase,csize
esto
bpmc

cmp tmp,eip
ja findoep
jmp loopoep

findoep:
exec
pushad
pushfd
ende

mov ecx,cbase
add csize,cbase
mov edx,csize
var iatadd
mov iatadd,iattop
loopiatadd:
sub iatadd,04
cmp [iatadd],0
je iataddbase
jmp loopiatadd
iataddbase:
mov iattop,iatadd
sub iattop,04
cmp [iattop],0
je findiatbase
jmp loopiatadd
findiatbase:

add iatadd,04
mov ebx,iatadd
log iatadd
mov [iatcalltop],##
mov tmp,eip
log tmp
mov eip,iatcalltop
sti
mov temp,iatcalltop
add temp,010c
bphws temp,"x"
esto

bphwcall
mov eip,tmp
bp eip

exec
popfd
popad
ende
bc eip

msg "腳本執行完成，iat表修復完成，現在停在偽OEP，請修復代碼！"
eval "IAT基地址在:{iatadd}"
msg $RESULT
ret

notlb:
msg "沒有加密表，可能是以前版本！"
pause

stop:

msg "可能是舊版本"
pause

Ⅸ 如何使用脫殼腳本

脫殼腳本格式有TXT格式的，有OSC格式的，都是要在OD中載入的，通常在OD中先載入要脫殼的EXE文件，然後選擇針對該EXE的脫殼腳本，然後運行OD，就可以了。但是腳本不是萬能的，一個加殼文件通常有好幾種脫殼腳本如Asprotect、Execryptor、Themida等。