Themida3.1.3静态脱壳和脱壳器
转过来的反正我也看不懂!Bobalkkagi 团队
BOB11 项目
Themida 3.1.3打包程序(Tiger red64)的脱壳、拆包和虚拟化(尚未)
API Hook
static/image/hrline/line3.png
API的挂钩 基于win10_v1903
如何
static/image/hrline/line3.png
安装
static/image/hrline/line3.png
pip install bobalkkagi
和
pip install git+https://github.com/bobalkkagi/bobalkkagi.git
备注
static/image/hrline/line3.png
需要默认的Dll文件夹(win10_v1903),或者您可以提供Dll文件夹路径
win10_v1903 文件夹位于 https://github.com/bobalkkagi/bobalkkagi
使用
static/image/hrline/line3.png
NAME
bobalkkagi
SYNOPSIS
bobalkkagi PROTECTEDFILE <flags>
POSITIONAL ARGUMENTS
PROTECTEDFILE
Type: str
FLAGS
--mode=MODE
Type: str
Default: 'f'
--verbose=VERBOSE
Type: str
Default: 'f'
--dllPath=DLLPATH
Type: str
Default: 'win10_v1903'
--oep=OEP
Type: str
Default: 't'
--debugger=DEBUGGER
Type: str
Default: 'f'
NOTES
You can also use flags syntax for POSITIONAL ARGUMENTS
选项说明
static/image/hrline/line3.png
模式: f, c, b
描述:意味着模拟模式,我们通过主题3.1.3实现了必要的api来解包受保护的可执行文件。
在快速模式下运行时,rip只与hook API函数区域大小32(0x20)进行比较,但hook_block模式和hook_code模式将rip与所有映射的DLL内存(最小0x1000000)进行比较以检查函数。块模式模拟块大小(call, jmp) 代码模式逐个操作码。
verbose
static/image/hrline/line3.png
verbose 显示加载的DLL在内存中,我们将更新它以打开/关闭HOOKING API CALL信息。
dllPath
static/image/hrline/line3.png
dllPath是存在要加载到内存中的DLL的目录。每个窗口版本的DLL都不同。
此工具可能无法使用您的窗口DLL路径(C:\Windows\System32)
oep
static/image/hrline/line3.png
oep是查找原始入口点的选项。如果关闭此选项,则可以在oep之后模拟程序
(快速模式无法做到这一点,它适用于hook_block和hook_code)
调试器
static/image/hrline/line3.png
如果您想解压缩另一个保护程序或不同版本的themida,您应该添加必要的hook_api函数(反调试、句柄、系统调用)。您可以分析受保护程序的hookcode模式或hookblock模式(更多详细信息请参阅https://github.com/unicorn-engine/unicorn)带有调试器选项(仅在hook_code模式下工作!)
https://github.com/bobalkkagi/bobalkkagi
学习一下。{:5_116:} 谢谢分享 就是有这种东西存在,我才懒得写软件了,流出去就是被人破解的下场
谢谢大佬分享 感谢楼主的热心分享
我怎么一点都看不懂。。。 感谢楼主分享{:5_116:} 谢谢大佬分享!
页:
[1]