一个插件的DLL,PEID查出来显示壳为:Themida|WinLicense 1.8.x.x-1.9.x.x -> Oreans *  If the HideOD is Failure,the will be 1.9.x.x *
我用HideOD失败,所以壳为1.9.x.x *
用PhantOm插件能正常调试,用fxyang兄弟的TMDScript-1.9.1+_private_0.7.txt脚本执行以后到下面地址:
00871390   . /EB 10         jmp     short 008713A2
00871392     |66            db      66                               ;  CHAR 'f'
00871393     |62            db      62                               ;  CHAR 'b'
00871394     |3A            db      3A                               ;  CHAR ':'
00871395     |43            db      43                               ;  CHAR 'C'
00871396     |2B            db      2B                               ;  CHAR '+'
00871397     |2B            db      2B                               ;  CHAR '+'
00871398     |48            db      48                               ;  CHAR 'H'
00871399     |4F            db      4F                               ;  CHAR 'O'
0087139A     |4F            db      4F                               ;  CHAR 'O'
0087139B     |4B            db      4B                               ;  CHAR 'K'
0087139C     |90            nop
0087139D     |E9            db      E9
0087139E     |F8A09300      dd      Progamdll.___CPPdebugHook
008713A2   > \A1 7FA09300   mov     eax, dword ptr [93A07F]
008713A7   .  C1E0 02       shl     eax, 2
008713AA   .  A3 83A09300   mov     dword ptr [93A083], eax
008713AF   .  8B4424 08     mov     eax, dword ptr [esp+8]
008713B3   .  A3 F1A09300   mov     dword ptr [93A0F1], eax
008713B8   .  FF1485 E1A093>call    dword ptr [eax*4+93A0E1]
008713BF   .  833D F1A09300>cmp     dword ptr [93A0F1], 1

提示:IAT为:009C50D4

实际应为:009C50D8
0093910A      90            nop
0093910B      90            nop
0093910C   $- FF25 D8509C00 jmp     dword ptr [9C50D8]               ;  ADVAPI32.RegCloseKey
00939112   $- FF25 DC509C00 jmp     dword ptr [9C50DC]               ;  ADVAPI32.RegOpenKeyExA
00939118   $- FF25 E0509C00 jmp     dword ptr [9C50E0]               ;  ADVAPI32.RegQueryValueExA
0093911E      CC            int3
0093911F      CC            int3
00939120   $- FF25 A4529C00 jmp     dword ptr [9C52A4]               ;  kernel32.CloseHandle
00939126   $- FF25 A8529C00 jmp     dword ptr [9C52A8]               ;  kernel32.CompareStringA
0093912C   $- FF25 AC529C00 jmp     dword ptr [9C52AC]               ;  kernel32.CreateDirectoryA
00939132   $- FF25 B0529C00 jmp     dword ptr [9C52B0]               ;  kernel32.CreateEventA
00939138   $- FF25 B4529C00 jmp     dword ptr [9C52B4]               ;  kernel32.CreateFileA
0093913E   $- FF25 B8529C00 jmp     dword ptr [9C52B8]               ;  kernel32.CreateThread
00939144   $- FF25 BC529C00 jmp     dword ptr [9C52BC]               ;  ntdll.RtlDeleteCriticalSection
0093914A   $- FF25 C0529C00 jmp     dword ptr [9C52C0]               ;  kernel32.DeleteFileA
00939150   $- FF25 C4529C00 jmp     dword ptr [9C52C4]               ;  ntdll.RtlEnterCriticalSection
00939156   $- FF25 C8529C00 jmp     dword ptr [9C52C8]               ;  kernel32.EnumCalendarInfoA
0093915C   .- FF25 CC529C00 jmp     dword ptr [9C52CC]               ;  kernel32.ExitProcess
00939162   .- FF25 D0529C00 jmp     dword ptr [9C52D0]               ;  kernel32.ExitThread
00939168   $- FF25 D4529C00 jmp     dword ptr [9C52D4]               ;  kernel32.FindClose
0093916E   $- FF25 D8529C00 jmp     dword ptr [9C52D8]               ;  kernel32.FindFirstFileA
.......
00939A90   $- FF25 C85D9C00 jmp     dword ptr [9C5DC8]               ;  OLEAUT32.VariantChangeType
00939A96   $- FF25 CC5D9C00 jmp     dword ptr [9C5DCC]               ;  OLEAUT32.VariantClear
00939A9C   $- FF25 D05D9C00 jmp     dword ptr [9C5DD0]               ;  OLEAUT32.VariantCopy
00939AA2   $- FF25 D45D9C00 jmp     dword ptr [9C5DD4]               ;  OLEAUT32.VariantCopyInd
00939AA8   $- FF25 D85D9C00 jmp     dword ptr [9C5DD8]               ;  OLEAUT32.VariantInit

用ImportREC修复.设置OEP为:00001390,RVA为:001C50D8 大小为D00,输入表函数无法成功
希望有兄弟能帮忙下我哪里出了问题。能帮我脱掉者可以有报酬.非常感谢

[培训]科锐逆向工程师培训第53期2025年7月8日开班！