【破解作者】 windycandy[PYG]
【使用工具】 OD,PEID,LordPE,ImprtREC F1.6
【破解平台】 Win9x/NT/2000/XP
【软件名称】 系统优化大师 V2005 Build 06.01
【下载地址】 见附件
【软件简介】 今年我们的英雄成功crackThemida,可以说是解密界的一新闻,但themia的脱壳
教程并不多见,近日在一蓑烟雨读得fly大侠大作<Themida V1.1.1.0 无驱动版
试炼普通保护方式脱壳>,成功将Themida[1].V1.3.5.5.加壳的98notepad脱掉,
遂用Themida[1].V1.3.5.5.对delphi编写的程序进行试验(将入口virtualization
调至0),本脱文可以说是fly大大那篇脱文的翻版,没有什么技术含量,献给与我一样
的菜鸟分享,高手则略过.如果需要对其中的原理进一步了解,请参照fly大大的文章
http://www.unpack.cn/viewthread.php?tid=2061&extra=page%3D19
【加壳方式】 Themida[1].V1.3.5.5
【破解声明】 我是一只小菜鸟,偶得一点心得,愿与大家分享:)
--------------------------------------------------------------------------------
【脱壳过程】
设置OD忽略所有异常,载入加壳程序后,停在:
00742014 y> B8 00000000 mov eax,0
00742019 60 pushad
0074201A 0BC0 or eax,eax
0074201C 74 58 je short yhds.00742076
0074201E E8 00000000 call yhds.00742023
00742023 58 pop eax
00742024 05 43000000 add eax,43
00742029 8038 E9 cmp byte ptr ds:[eax],0E9
0074202C 75 03 jnz short yhds.00742031
0074202E 61 popad
0074202F EB 35 jmp short yhds.00742066
Alt+M 打开内存察看窗口,在代码段设置内存写入断点。连续Shift+F9三次后中断在
009327FC F3:A4 rep movs byte ptr es:[edi],byte ptr ds:[>---------中断
009327FE C685 B50C3509 56 mov byte ptr ss:[ebp+9350CB5],56
00932805 68 396D1FD4 push D41F6D39
0093280A FFB5 CD253509 push dword ptr ss:[ebp+93525CD]
00932810 8D85 04D84009 lea eax,dword ptr ss:[ebp+940D804]
00932816 FFD0 call eax
00932818 68 00800000 push 8000
0093281D 6A 00 push 0
0093281F 52 push edx
00932820 FFD0 call eax
中断后先F7一次,再F8到009327FE,接着在shift+F9两次,中断在
00939043 8908 mov dword ptr ds:[eax],ecx------------中断
00939045 AD lods dword ptr ds:[esi]
00939046 C746 FC 00000000 mov dword ptr ds:[esi-4],0
0093904D 89B5 7D203509 mov dword ptr ss:[ebp+935207D],esi
00939053 83F8 FF cmp eax,-1
00939056 0F85 20000000 jnz yhds.0093907C
0093905C &n
您当前的位置:
减小字体
增大字体