Themida / Winlicense (TM / WL)脱壳总结,Themida脱壳,Winlicense脱壳各个版本区别总结
2012-04-23 17:40
417 查看
个人总结,不一定十分准确,请勿引用!
(一),
Themida和不用license的Winlicense脱壳就不说了,直接上脚本脱壳。
(二),
先看看不同版本OEP的一些小特征:
2.1.X.X版本之后的OEP特征(2.0.8.0,2.1.0.10,2.1.3.32等)
2.1版本之前的OEP特征,如(2.0.3.0,1.8.2.0,1.885等):
Temida OEP特征:如(2.0.3.0,)
一,对于Winlicense2.1.0.10及其以下版本,不用license,可自己随意构造一个license直接bypass.然后脱壳。
bypass过程
1, 先获得license名称,自己随便构造一个license,然后OD运行程序,弹出提示窗口后获得JMP的首地址:FirstJmpAddress。
2, 下FirstJmpAddress硬件断点,重新运行程序,中断后,在第二个jmp,enter进入,然后搜索cmp
ecx,eax,下断点,运行,中断在CmpEcxEaxAddress。
3, 运行几次后,会得到eax,ecx不同的值,其中eax为正确的checkword,把eax值赋给ecx即可。共有两次不同,所以有两个checkword。
4, 搜索kenrel.dll的首地址,本机为7c800000, ctrl+B,输入:00
00 80 7C。再搜索dll地址的第二个地址,可以获得SecondDllAddress。在改完第二个checkword后,把SecondDllAddress更改为首个dll地址,运行即可bypass.
二,2.1.X.X版本之后的OEP特征(2.0.8.0,2.1.0.10,2.1.3.32等):
bypass过程:
1,需要一个可用license
第1,2步骤与以上相同.
第3个步骤中,只有一个checkword,但是这个checkword值也有两次校验,分别赋给ecx即可bypass.
三,还碰到过一种bypass,是需要不断监控eax和SecondDllAddress
值的,不知道属于哪个版本。可看教程WinLicense ByPass For SecondDllAddress.
以上三种版本bypass过程需要如何分辨,主要看cmp ecx,eax时候的值来辨别!
Winlicense脱壳过程:
把bypass的script插入zhw hwid Themida - Winlicense 1.x - 2.x Multi PRO Edition 1.2.txt中即可实现bypass加脱壳。
搜索/*zhw bypass */部分可看到插入的script.
以上过程如有补充或疑问,可问QQ: 9112627, 对软件破解、Winlicense脱壳,Zprotect脱壳,网络验证破解等有一定的研究。
上面的例子我放到资源中供大家下载,里面有加壳的例子以及对应的bypass脚本和脱壳脚本。
地址: http://download.csdn.net/detail/zhw309/4249943
(一),
Themida和不用license的Winlicense脱壳就不说了,直接上脚本脱壳。
(二),
先看看不同版本OEP的一些小特征:
2.1.X.X版本之后的OEP特征(2.0.8.0,2.1.0.10,2.1.3.32等)
2.1版本之前的OEP特征,如(2.0.3.0,1.8.2.0,1.885等):
Temida OEP特征:如(2.0.3.0,)
一,对于Winlicense2.1.0.10及其以下版本,不用license,可自己随意构造一个license直接bypass.然后脱壳。
bypass过程
1, 先获得license名称,自己随便构造一个license,然后OD运行程序,弹出提示窗口后获得JMP的首地址:FirstJmpAddress。
2, 下FirstJmpAddress硬件断点,重新运行程序,中断后,在第二个jmp,enter进入,然后搜索cmp
ecx,eax,下断点,运行,中断在CmpEcxEaxAddress。
3, 运行几次后,会得到eax,ecx不同的值,其中eax为正确的checkword,把eax值赋给ecx即可。共有两次不同,所以有两个checkword。
4, 搜索kenrel.dll的首地址,本机为7c800000, ctrl+B,输入:00
00 80 7C。再搜索dll地址的第二个地址,可以获得SecondDllAddress。在改完第二个checkword后,把SecondDllAddress更改为首个dll地址,运行即可bypass.
二,2.1.X.X版本之后的OEP特征(2.0.8.0,2.1.0.10,2.1.3.32等):
bypass过程:
1,需要一个可用license
第1,2步骤与以上相同.
第3个步骤中,只有一个checkword,但是这个checkword值也有两次校验,分别赋给ecx即可bypass.
三,还碰到过一种bypass,是需要不断监控eax和SecondDllAddress
值的,不知道属于哪个版本。可看教程WinLicense ByPass For SecondDllAddress.
以上三种版本bypass过程需要如何分辨,主要看cmp ecx,eax时候的值来辨别!
Winlicense脱壳过程:
把bypass的script插入zhw hwid Themida - Winlicense 1.x - 2.x Multi PRO Edition 1.2.txt中即可实现bypass加脱壳。
搜索/*zhw bypass */部分可看到插入的script.
以上过程如有补充或疑问,可问QQ: 9112627, 对软件破解、Winlicense脱壳,Zprotect脱壳,网络验证破解等有一定的研究。
上面的例子我放到资源中供大家下载,里面有加壳的例子以及对应的bypass脚本和脱壳脚本。
地址: http://download.csdn.net/detail/zhw309/4249943
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- Themida / Winlicense (TM / WL)脱壳各个版本区别总结
- Themida / Winlicense (TM / WL)脱壳总结
- Themida / Winlicense (TM / WL) 2.1.0.10 无key通过认证,对2.1.0.0或以下版本无KEY脱壳。
- 总结Themida / Winlicense加壳软件的脱壳方法
- 总结Themida / Winlicense加壳软件的脱壳方法
- 总结Themida / Winlicense加壳软件的脱壳方法
- Themida/WinLicense V1.8.2.0 +脱壳 FOR PcShare远程控制会员版本20070826
- sql2000各个版本区别总结第1/3页
- sql2000各个版本区别总结第1/3页
- TMD/WL (Themida / Winlicense ) SDK VM的解决方案 (应用篇,非引擎分析)
- H236各个版本的区别总结
- sql server2008 R2 各个版本的区别与选择
- CentOS 7 各个版本的区别
- 查看Eclipse版本号,及各个版本区别
- PHP5各个版本的新功能和新特性总结
- LINUX各个发行版本之间的区别
- 深度经验总结:快逸报表工具单数据集版本和多数据集版本的主要区别之一
- .NET2.0/3.0/3.5区别和VS各个版本概览