【求思路】Themida+Winlicense加壳软件,使用软件成功脱壳后无法运行,请各位老师指教问题在哪里
脱壳前及脱壳后的PE文件在此通过网盘分享的文件:exe文件
链接: https://pan.baidu.com/s/1vnlezVGtG4905F1N_I_gPA 提取码: t4we
脱壳前的文件信息,确定是Themida - Winlicense 3.X 加壳
脱壳过程:
使用https://github.com/ergrelet/unlicense成功脱壳
但是脱壳后程序无法运行,也没有报错,使用ollydbg调试时发现程序直接终止。
目前做过的尝试:
1. 使用ollydbg, 5C355F处 postquitmessage方法直接替换成NOP,继续执行后程序不会终止,但也不会正常运行。
2. PE TOOLS修改Sections 信息
改成了
无效。
请各位老师们给个思路,目前问题是出在哪里,是脱壳后程序仍需要其他修复,还是软件本身有校验(比如文件大小)导致的无法运行。
汇编新人,求指教。
我试了很多次,Magicmida,还有unlicense,都不靠谱,别迷信脱壳机了,这类壳难搞 脱壳也要分析程序啊哥们, 你这有SDK, 咋脱 静听松涛 发表于 2025-1-12 19:33
我试了很多次,Magicmida,还有unlicense,都不靠谱,别迷信脱壳机了,这类壳难搞 ...
确实啊,还有VMP壳 unlicense 就是个玩具,没什么实际用处。很多脱了是没法运行的。 静听松涛 发表于 2025-1-12 19:33
我试了很多次,Magicmida,还有unlicense,都不靠谱,别迷信脱壳机了,这类壳难搞 ...
明白了,谢谢老哥 Eric 发表于 2025-1-12 21:50
脱壳也要分析程序啊哥们, 你这有SDK, 咋脱
请问,SDK是指的什么? Eric 发表于 2025-1-12 21:50
脱壳也要分析程序啊哥们, 你这有SDK, 咋脱
我现在尝试用论坛里的方法,先找OEP,再做IAT修复。目前找到的OEP是407680,请问老哥,这个地址对么~~ 新人真心求教,有思路的话可以给个最佳答案
侯昕杰 发表于 2025-1-18 20:46
我现在尝试用论坛里的方法,先找OEP,再做IAT修复。目前找到的OEP是407680,请问老哥,这个地址对么~~ 新 ...
SDK就是内置的标记, 也就是指定的子程序虚拟化, 脱壳你可以理解为IAT还原, 但是SDK属于还原VM. 所以大部分都是带壳破解而不是脱壳. Themida 脱壳难于上青天,如果没有 Themida VM 源码和结构图是不可能的,里面各种混淆。
页:
[1]
2