themida脱壳脚本

Ⅰ 【求助】themida 18.2(internal exception occured )

呼。总算是解决上述的问题，可以跑脚本了。按照看雪论坛上knightsoft的教程补充oep，然后脱壳。使用peid检验PESniffer：ms VC60PEiDDSCAN：ms vc60可搜卜饥是尝试运行程序世返却不成功。不知道是需要自校验还是其他的原因。因为在peid的扩展信息弊尺中平均信息：7.03（压缩）。有没有给指点下！！该怎么做！！

Ⅱ 脱themida/winlicense壳成功不能运行程序怎样修复

不能运行说明脱壳脚本不是万能的，网上的脱壳脚本最多也就是能修复大部分iat表，找到oep，不能运行的原因有很多种，有的是因为有代码加密，到oep这的时候，代码还是加密的，脱壳后解密不了，需要跟踪找到进行解密。还有就是部分iat修复错误，或者直接没修复，导致程序崩溃，这种情况比较多，需要找出来修复。

Ⅲ 怎么装载themida 的脱壳脚本

从LZ口气得知: themida 还不是你现在可以玩得定的... 有脚本也难行走... 绝对真话... 这个壳多数靠跑脚本还不行,还是需要得手工玩玩~

Ⅳ 新手也来学脱Themida的壳，不知道怎么修复IAT了

这戚轮个壳的确比较难脱，你可以尝试使用现成的脱壳脚本可以搜索饭客网络，那个地方高游信有你所需要的知识学习愉磨吵快!

Ⅳ 求教.NET程序用Themida加壳后脱壳的问题

Themida要看哪个版本了，脱壳不太清楚，加壳软件下载可以去

乌龙寺技术站

Ⅵ 脱壳Themida 1.0.x.x - 1.8.x.x (no compression) -> Oreans Technologies

1、跑脚本
2、找脱壳机
你成功脱壳运行几率不大。
代码VM那就没戏了。
最好方卜镇法就是灶樱写内存补丁。隐弊丛

Ⅶ Themida/Winlicense v.2.1.x.x 有没有脱壳脚本

可以试试，LCF-AT 的脚本

带SDK的话 ，脱壳意义不大！

Ⅷ Themida 1.9.9.0有脱壳脚本吗

有的

///////////////////////败尘派/////////察贺///////////
/// by fxyang ///
/// version 0.3 ///
/// 感谢 fly 的建议，海风月影 测试 ///
////////////////////////////////////////////
data:
var cbase
var csize
var dllimg
var dllsize
var mem
var getprocadd
var gatprocadd_2
var tmp
var temp

cmp $VERSION, "1.52"
jb odbgver

bphwcall
bpmc
gmi eip,CODEBASE
mov cbase,$RESULT
gmi eip,CODESIZE
mov csize,$RESULT
gmemi eip,MEMORYBASE //壳段的基地址
mov dllimg,$RESULT
log dllimg
gmemi eip,MEMORYSIZE //壳段的长度
mov dllsize,$RESULT
log dllsize

findapibase:
gpa "GetProcAddress", "kernel32.dll"
mov getprocadd,$RESULT //取GetProcAddress函数地址，用于定位加密表
cmp getprocadd,0
gpa "_lclose","kernel32.dll" //同上
mov getprocadd_2,$RESULT
gpa "GetLocalTime", "kernel32.dll" //下面代码取自okdodo 感谢 okdodo
mov tmpbp,$RESULT
cmp tmpbp,0
je stop
bphws tmpbp ,"x"
esto
bphwc tmpbp
rtu
gpa "VirtualAlloc", "kernel32.dll"
mov tmpbp,$RESULT
cmp tmpbp,0
je stop
bphws tmpbp ,"x"
esto
bphwc tmpbp
rtu
mov apibase,eax
log apibase
gpa "LoadLibraryA", "kernel32.dll"
mov tmpbp,$RESULT
cmp tmpbp,0
je stop
bphws tmpbp ,"x"
esto

bphwc tmpbp
rtu
findVirtualAlloc:
find apibase,## //查找被虚拟的VirtualAlloc函数
mov tmpbp,$RESULT
cmp tmpbp,0
je win2003
bphws tmpbp ,"x"
jmp tmploop

win2003:
find apibase,##
mov tmpbp,$RESULT
cmp tmpbp,0
je stop
bphws tmpbp ,"x"

tmploop:
//下面代码重新改写
esto
cmp eax,getprocadd //定位加密表出现时机
je iatbegin
cmp eax,getprocadd_2
je iatbegin
jne tmploop

iatbegin:
esto
esto

bphwcall
rtr
sti
sti
find eip, #8BB5??????09#
mov tmpbp,$RESULT
cmp tmpbp,0
jne next1
find eip, #8BB5??????06#
mov tmpbp,$RESULT
cmp tmpbp,0
je findnext_1
next1:
bphws tmpbp ,"x"
esto

sti
var iatcalltop //加密表的首兄棚地址
var iatcallend
mov iatcalltop,esi
find iatcalltop,#00000000#
mov iatcallend,$RESULT
log iatcallend
var iatfn
var iattop
var codeadd
var antiadd
bphwcall
jmp codebegin

findnext_1:
sti
find dllimg, #FFFFFFFFDDDDDDDD#
mov tmpbp,$RESULT
cmp tmpbp,0
je notlb

var iatcalltop //加密表的首地址
var iatcallend
mov iatcalltop,$RESULT
sub iatcalltop,10
log iatcalltop
find iatcalltop,#00000000#
mov iatcallend,$RESULT
log iatcallend
var iatfn
var iattop
var codeadd
var antiadd
mov tmp,eax
mov eax,iatcalltop
mov eax,[eax]
shr eax,10
cmp ax,0
jne iatbegin_2
add iatcalltop,04
iatbegin_2:
mov eax,tmp

codebegin:
bphws iatcalltop,"r"
esto

bphwcall
find eip,#83BD????????01#
bphws $RESULT ,"x"
mov antiadd,$RESULT
esto

sti
bphwcall
mov temp,eip
mov [temp],#909090909090#
mov tmp,0
loop1:
find eip,#3B8D????????0F84#,100
bphws $RESULT ,"x"
esto

bphwcall
mov iatfn,eax //获得函数，并修改magic jump
log iatfn
sti
mov temp,eip
mov [temp],#909090909090#
inc tmp
cmp tmp,03
je next_1
jmp loop1

next_1:
add iatcalltop,04
bphws iatcalltop,"r"
esto

bphwcall
findiataddpro: //iataddress
find eip,#0385????????#,100
bphws $RESULT,"x"
esto

sti
bphwcall
mov iattop,eax //此时EAX是iat表中函数写入地址，然后判断这个值最小时就是iat基地址
log iattop
mov iatcalltop,esi
bphws antiadd,"r"
esto

find eip,#3985??????0?0F84#,
mov temp, $RESULT
bphws temp,"x"
esto

bphwcall
sti
mov temp,eip
mov [temp],#90E9# //处理效验
log temp
sub iatcallend,04
bphws iatcallend,"w"
esto

sti
sti
mov tmp,cbase
add tmp,csize

loopoep:
bprm cbase,csize
esto
bpmc

cmp tmp,eip
ja findoep
jmp loopoep

findoep:
exec
pushad
pushfd
ende

mov ecx,cbase
add csize,cbase
mov edx,csize
var iatadd
mov iatadd,iattop
loopiatadd:
sub iatadd,04
cmp [iatadd],0
je iataddbase
jmp loopiatadd
iataddbase:
mov iattop,iatadd
sub iattop,04
cmp [iattop],0
je findiatbase
jmp loopiatadd
findiatbase:

add iatadd,04
mov ebx,iatadd
log iatadd
mov [iatcalltop],##
mov tmp,eip
log tmp
mov eip,iatcalltop
sti
mov temp,iatcalltop
add temp,010c
bphws temp,"x"
esto

bphwcall
mov eip,tmp
bp eip

exec
popfd
popad
ende
bc eip

msg "脚本执行完成，iat表修复完成，现在停在伪OEP，请修复代码！"
eval "IAT基地址在:{iatadd}"
msg $RESULT
ret

notlb:
msg "没有加密表，可能是以前版本！"
pause

stop:

msg "可能是旧版本"
pause

Ⅸ 如何使用脱壳脚本

脱壳脚本格式有TXT格式的，有OSC格式的，都是要在OD中加载的，通常在OD中先加载要脱壳的EXE文件，然后选择针对该EXE的脱壳脚本，然后运行OD，就可以了。但是脚本不是万能的，一个加壳文件通常有好几种脱壳脚本如Asprotect、Execryptor、Themida等。