首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 加壳脱壳
    3. 发新帖
[转帖]俄文脱WinLicense Demo 01.11.2005 Form WASM
发表于: 2005-12-22 17:25 7420

[转帖]俄文脱WinLicense Demo 01.11.2005 Form WASM

xyzjhe 活跃值
2005-12-22 17:25
7420
俄文脱WinLicense Demo at 01.11.2005 Form WASM附件:unpack_winlicense.rar

哪位翻译一下哦。

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (18)
kort
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
Yes but the version run in Ring0 protection
2005-12-22 18:02
0
Ivanov
雪    币: 1334
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
谁告诉你这篇文章是 themida 脱壳?
Themida - 革新的 XProtector
看不懂俄文还看不懂代码么?
2005-12-29 12:21
0
fslove
雪    币: 208
活跃值: (40)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
看不懂俄文,
ENG还可以
2005-12-29 13:27
0
xyzjhe
雪    币: 255
活跃值: (110)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
你懂俄文,翻译一段看看哦。

这个Dragon可是写过一篇俄文的Themida脱壳文章。

唉,不懂俄文成了罪过了。懂的人说风凉话。有个老兄今天也贴了。

3dbK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3y4J5j5h3y4C8L8r3q4T1i4K6u0W2M7Y4g2Q4x3V1k6S2M7Y4c8Q4x3V1k6@1K9r3g2E0K9h3c8S2i4K6g2X3j5%4u0S2j5$3E0Q4x3X3g2H3K9s2m8Q4c8e0S2Q4b7V1k6Q4z5e0W2Q4c8e0g2Q4z5o6c8Q4b7V1k6Q4c8e0c8Q4b7U0W2Q4z5f1k6Q4c8e0k6Q4z5e0S2Q4b7f1k6Q4c8e0g2Q4b7e0c8Q4b7e0N6Q4c8e0g2Q4b7f1g2Q4b7U0k6Q4c8e0N6Q4z5f1y4Q4z5p5u0Q4c8e0N6Q4z5f1y4Q4z5p5u0Q4c8e0y4Q4z5o6m8Q4z5o6t1`.
2005-12-29 14:21
0
Ivanov
雪    币: 1334
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6 
.text:00015F13 000     mov HookFlag, 1  
.text:00015F1D 000     push ecx 
.text:00015F1E 004     sidt qword ptr [esp-2]              ; Store Interrupt Descriptor Table Register  
.text:00015F23 004     pop ecx
.text:00015F24 000     add ecx, 74h                        ; Add  
.text:00015F27 000     mov edi, [ecx]
.text:00015F29 000     mov di, [ecx-4]
.text:00015F2D 000     mov dword_180D6, edi  
.text:00015F33 000     lea eax, sub_15F42                  ; Load Effective Address  
.text:00015F39 000     push 0Eh                            ; EH  
.text:00015F3B 004     push eax                            ; Eax  
.text:00015F3C 008     call DriverUnLoad_Sub1              ; Call Procedure  
.text:00015F41 000     retn                                ; Return Near from Procedure

看那个 push 0Eh 中断14, Themida - обновлённый XProtector 写了一整篇它的核心意义就在这里,跟脱壳有什么关系? nop 掉它就可以在themida驱动版上用OD带壳调试了
2005-12-29 17:35
0
xyzjhe
雪    币: 255
活跃值: (110)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
还是贴一个东东把。错就错到底。 附件:themida_crack.rar
2005-12-29 17:50
0
鸡蛋壳
雪    币: 427
活跃值: (412)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
最初由 Ivanov 发布
[CODE].text:00015F13 000 mov HookFlag, 1
.text:00015F1D 000 push ecx
.text:00015F1E 004 sidt qword ptr [esp-2] ; Store Interrupt Descriptor Table Register
.text:00015F23 004 pop ecx
.text:00015F24 000 add ecx, 74h ; Add
........


THEMIDA与XPR相差甚远。如果XPR同样取消驱动,强度比THEMIDA要强
2005-12-29 18:02
0
aki
雪    币: 223
活跃值: (70)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
私信
9
好东西,顶
2005-12-29 18:02
0
Ivanov
雪    币: 1334
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
10
2005-12-29 18:38
0
Ivanov
雪    币: 1334
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
11
目前还不知道Themida将来怎么走, 是继续用SecureEngine,还是自己再开发(这一点很难做到,找不到这么强的程序员),拭目以待吧
2005-12-29 18:54
0
鸡蛋壳
雪    币: 427
活跃值: (412)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
12
最初由 Ivanov 发布
目前还不知道Themida将来怎么走, 是继续用SecureEngine,还是自己再开发(这一点很难做到,找不到这么强的程序员),拭目以待吧


居然有能给我来脱盲,我倒。实话告诉你,XPR两个程序员我都认识,其中一个和我关系不错,其中一个人进入Oreans【80%的XPR开发者:此人性格孤僻,也是因为他让我无法获得一份授权,另一个人都答应了】公司,进一步完善改进XPR成为了THEMIDA,不过THEMIDA很多参数你都看不到的,全部内置了,没有XPR那么开放性。所以XPR强就强在这里,不会有对XPR的通用脱壳机,但THEMIDA却有可能出现脱壳机。至少理论上以及实践上我都看到成为了可能。那个虚拟机有反向器的。
2005-12-29 19:05
0
鸡蛋壳
雪    币: 427
活跃值: (412)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
13
Themida取消驱动的真实原因不是驱动不兼容64位或者其它问题,而是国内已经有不少大客户是它的壳的客户,就是那几款网游大户,还是因为那个驱动兼容问题,网游商要求取消驱动。这点你可以去带这个壳的网游论坛看看反馈,出的问题真的是一塌糊涂。什么怪问题都有。  还有就是咔吧不与Themida妥协,新版咔吧对Themida也游兼容问题。
2005-12-29 19:11
0
Ivanov
雪    币: 1334
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
14
我还是建议你先逆向Themida的原理在讨论它的脱壳
2005-12-29 20:06
0
Ivanov
雪    币: 1334
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
15
唉,讨论这个没什么用,有时间我弄点代码,分析玩别讨论这个有趣得多,咔咔
2005-12-29 20:19
0
鸡蛋壳
雪    币: 427
活跃值: (412)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
16
最初由 Ivanov 发布
我想你并没有分析过themida的代码,我建议你去分析一下它,你就明白一两个顶级牛人也写不出来这东西,通过一个脱壳机休想脱它;

Themida,取消驱动是自寻死路,几个客户的要求,完全可以出特别版不至于挥刀自宫, 至于它新加VM,跟它本身那个大挪移比起来跟不算是个防御;

我还是建议你先逆向Themida的原理在讨论它的脱壳


我这就有个我制作的现成的例子在此,看样子你并没有注意,你就拿这个分析看看
6eeK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4g2H3L8r3!0S2k6q4)9J5k6i4m8J5L8$3N6J5j5h3#2X3j5h3&6Q4x3X3g2U0L8$3#2Q4x3V1k6#2M7r3k6A6L8r3g2Q4x3V1j5J5x3o6l9#2x3e0t1J5x3e0p5I4y4o6p5I4z5e0u0Q4x3X3g2J5j5i4t1`.
2005-12-30 11:51
0
bokonger
雪    币: 203
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
17
呵呵,themida加密的程序变成了胖子了,20k的东西变成1.3M大,晕倒!启动慢死了
2006-1-2 13:11
0
Ivanov
雪    币: 1334
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
18
最初由 鸡蛋壳 发布


居然有能给我来脱盲,我倒。实话告诉你,XPR两个程序员我都认识,其中一个和我关系不错,其中一个人进入Oreans【80%的XPR开发者:此人性格孤僻,也是因为他让我无法获得一份授权,另一个人都答应了】公司,进一步完善改进XPR成为了THEMIDA,不过THEMIDA很多参数你都看不到的,全部内置了,没有XPR那么开放性。所以XPR强就强在这里,不会有对XPR的通用脱壳机,但THEMIDA却有可能出现脱壳机。至少理论上以及实践上我都看到成为了可能。那个虚拟机有反向器的。


鸡蛋壳, 说的 一个人进入Oreans一事,经过对代码的分析,应该是正确的, 要是没有鸡蛋壳这段话就解不开我的一个疑问, 先向 鸡蛋壳道个歉,前一段对你的话表示了怀疑, 现在声明你说的 这段themida历史应该是正确的,符合它的代码风格的,哈哈
2006-1-11 16:12
0
winndy
雪    币: 440
活跃值: (922)
能力值: ( LV9,RANK:690 )
在线值:
发帖
回帖
粉丝
私信
19
知错能改,善莫大焉~~
2006-1-11 16:33
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回