Themida / Winlicense3.0

无标签
发布日期:   2022-03-24

Themida-Winlicense3-0 脱壳 修复IAT表

0x1 查壳

1

发现是Themida-Winlicense3-0以上的壳

0x2过反调试

2

动调发现有反调试

3

打开sharpOD64 的 Protect Drx 即可过反调试

4

成功运行起来

0x3 查找OEP

6

可以先dump程序,ida分析出oep 然后进入od 下硬件执行断点

0x4 修复IAT表

7

可以看见许多api被加密过

8

运行 自写的修复IAT od脚本

9

可以看见IAT已经修复完成

0x5 再次查壳

10

发现已经脱掉了

0x6 拉进ida检验

11

函数都识别出来了

12

0x7 脚本奉上

VAR OEP
MOV OEP,00A911C0     //输入你的oep地址
VAR temp0
VAR temp1
MOV temp0,00A92FFC   //输入IAT表首地址-4
Test:
ADD temp0,4
MOV temp1,[temp0]
CMP temp1,72C00000
JA Test
CMP temp1,0
JE Test
MOV eip,temp1
RTR
MOV [temp0],[esp]
CMP temp0,00A930E0  //输入IAT表结束地址
JAE jmpout
JMP Test
jmpout:
MOV eip,OEP
RET

0x8 总结

脱壳还是老三样

1.过反调试

2.寻找oep

3.修复IAT表

巩固了一下OD脚本的编写,又脱了一个没脱过的壳 芜湖

文章作者: Blue
文章链接: http://moodyblue.cn/category/Themida-Winlicense3-0/
版权声明: 本博客所有文章除特別声明外,均采用 CC BY 4.0 许可协议。转载请注明来源 Blue !
无标签
评论
  目录