-
-
[求助]UnThemida 2.0的问题!
-
发表于: 2007-8-3 21:27
-
用PEiD检测,是Themida/WinLicense V1.8.2.0 + -> Oreans Technologies * Sign.By.fly *的壳。
使用的是a__p大侠的UnThemida2.0.exe
0efK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4g2F1M7r3q4U0K9#2)9J5k6h3y4F1i4K6u0r3N6X3W2W2N6%4c8Z5M7X3g2S2k6q4)9J5k6i4m8Z5M7q4)9K6c8Y4c8A6k6q4)9K6c8o6p5J5y4U0f1#2i4K6t1$3k6i4S2@1M7X3q4Q4x3@1c8Q4x3U0k6H3j5h3N6W2i4K6y4p5x3b7`.`.
脱壳出现假死现象:
请各位大侠指教!
okdodo:
应该是遇到不支持的版本了.
icebianry:
使用HideToolz和a__p兄的脚步,执行成功!
正在脱壳中......
softtip:
不支持~~~~~
哪天会下雨:
同问,用这个没成功过
icebinary:
按照redrose_潇潇大侠的方法,成功到达OEP,并且修改了Stolen Code后dump,再修复IAT,运行后,在资源管理器里cpu占到50以上,且主界面出不来。
用OD跟踪修复后dumped_.exe,找到了循环执行的代码:
0061DA88 33C0 xor eax, eax
0061DA8A F0:0FB14F 30 lock cmpxchg dword ptr [edi+30], ecx
0061DA8F ^ 75 F7 jnz short 0061DA88
问题就出在这,不停的循环执行。
请教,是不是dump出错造成的,不知道接下来该怎么办了,请各位大侠指教!
根据redrose_潇潇大侠的方法,
0062686A FF32 push dword ptr [edx] ; kernel32.GetVersionExA ;
我是在执行到这条语句的时候就开始修改Stolen Code,并dump,请问是不是应该要执行到OEP处再dump啊?
http://bbs.pediy.com/showthread.php?t=48586
请教,为什么Stolen Code还原后,一运行,程序就退出了!
flong:
同问,用这个没成功过
使用的是a__p大侠的UnThemida2.0.exe
0efK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4g2F1M7r3q4U0K9#2)9J5k6h3y4F1i4K6u0r3N6X3W2W2N6%4c8Z5M7X3g2S2k6q4)9J5k6i4m8Z5M7q4)9K6c8Y4c8A6k6q4)9K6c8o6p5J5y4U0f1#2i4K6t1$3k6i4S2@1M7X3q4Q4x3@1c8Q4x3U0k6H3j5h3N6W2i4K6y4p5x3b7`.`.
脱壳出现假死现象:
请各位大侠指教!
okdodo:
应该是遇到不支持的版本了.
icebianry:
使用HideToolz和a__p兄的脚步,执行成功!
正在脱壳中......
softtip:
不支持~~~~~
哪天会下雨:
同问,用这个没成功过
icebinary:
按照redrose_潇潇大侠的方法,成功到达OEP,并且修改了Stolen Code后dump,再修复IAT,运行后,在资源管理器里cpu占到50以上,且主界面出不来。
用OD跟踪修复后dumped_.exe,找到了循环执行的代码:
0061DA88 33C0 xor eax, eax
0061DA8A F0:0FB14F 30 lock cmpxchg dword ptr [edi+30], ecx
0061DA8F ^ 75 F7 jnz short 0061DA88
问题就出在这,不停的循环执行。
请教,是不是dump出错造成的,不知道接下来该怎么办了,请各位大侠指教!
根据redrose_潇潇大侠的方法,
0062686A FF32 push dword ptr [edx] ; kernel32.GetVersionExA ;
我是在执行到这条语句的时候就开始修改Stolen Code,并dump,请问是不是应该要执行到OEP处再dump啊?
http://bbs.pediy.com/showthread.php?t=48586
请教,为什么Stolen Code还原后,一运行,程序就退出了!
flong:
同问,用这个没成功过
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
