[求助]Themida/WinLicense V1.8.2.0 + -> Oreans Technologies 文件校验怎么去掉-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[求助]Themida/WinLicense V1.8.2.0 + -> Oreans Technologies 文件校验怎么去掉

发表于: 2012-3-4 21:20 4223

[求助]Themida/WinLicense V1.8.2.0 + -> Oreans Technologies 文件校验怎么去掉

yjcpu

2012-3-4 21:20

4223

一个程序开始用PEID查时显示是yoda's Protector v1.02 (.dll,.ocx) -> Ashkbiz Danehkar (h) *，估计是不认得

后来用OD载入调试发现入口是：

00E1A000 >  83EC 04         sub     esp, 4
00E1A003    50              push    eax
00E1A004    53              push    ebx
00E1A005    E8 01000000     call    00E1A00B
00E1A00A    0058 89         add     byte ptr [eax-77], bl
00E1A00D    C3              retn
00E1A00E    40              inc     eax
00E1A00F    2D 00204000     sub     eax, 00402000
00E1A014    2D CCD01B04     sub     eax, 41BD0CC
00E1A019    05 C1D01B04     add     eax, 41BD0C1
00E1A01E    803B CC         cmp     byte ptr [ebx], 0CC
00E1A021    75 19           jnz     short 00E1A03C
00E1A023    C603 00         mov     byte ptr [ebx], 0
00E1A026    BB 00100000     mov     ebx, 1000
00E1A02B    68 1EECD875     push    75D8EC1E
00E1A030    68 9AA7594D     push    4D59A79A
00E1A035    53              push    ebx
00E1A036    50              push    eax
00E1A037    E8 0A000000     call    00E1A046
00E1A03C    83C0 00         add     eax, 0
00E1A03F    894424 08       mov     dword ptr [esp+8], eax
00E1A043    5B              pop     ebx
00E1A044    58              pop     eax
00E1A045    C3              retn

在最后retn后跳到

00A18000    B8 00000000     mov     eax, 0
00A18005    60              pushad
00A18006    0BC0            or      eax, eax
00A18008    74 68           je      short 00A18072
00A1800A    E8 00000000     call    00A1800F
00A1800F    58              pop     eax
00A18010    05 53000000     add     eax, 53
00A18015    8038 E9         cmp     byte ptr [eax], 0E9
00A18018    75 13           jnz     short 00A1802D
00A1801A    61              popad
00A1801B    EB 45           jmp     short 00A18062
00A1801D    DB2D 2380A100   fld     tbyte ptr [A18023]
00A18023    FFFF            ???                                      ; 未知命令
00A18025    FFFF            ???                                      ; 未知命令
00A18027    FFFF            ???                                      ; 未知命令
00A18029    FFFF            ???                                      ; 未知命令
00A1802B    3D 40E80000     cmp     eax, 0E840
00A18030    0000            add     byte ptr [eax], al
00A18032    58              pop     eax
00A18033    25 00F0FFFF     and     eax, FFFFF000
00A18038    33FF            xor     edi, edi
00A1803A    66:BB 195A      mov     bx, 5A19
00A1803E    66:83C3 34      add     bx, 34
00A18042    66:3918         cmp     word ptr [eax], bx
00A18045    75 12           jnz     short 00A18059
00A18047    0FB750 3C       movzx   edx, word ptr [eax+3C]
00A1804B    03D0            add     edx, eax
00A1804D    BB E9440000     mov     ebx, 44E9

从00A18000 DUMP出来后，再用PEID查出来是
Themida/WinLicense V1.8.2.0 + -> Oreans Technologies * Sign.By.fly *壳

，
运行后提示file corrupted！。。。

这个文件校验怎么过，后面还有时间检查要过。

能找到的TMD脚本都跑不起，，，看起来加了三层壳。。。真是用心良苦

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・0

免费・0

支持