加密解密：脱壳手记---Themida(2.1.2.0).doc

下载文档 降价啦

11
0
约1.2万字
约 16页
2020-09-10 发布于山西
举报
版权申诉
保障服务

加密解密：脱壳手记---Themida(2.1.2.0).doc

1、原创力文档（book118）网站文档一经付费（服务费），不意味着购买了该文档的版权，仅供个人/单位学习、研究之用，不得用于商业用途，未经授权，严禁复制、发行、汇编、翻译或者网络传播等，侵权必究。。
2、本站所有内容均由合作方或网友上传，本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺！文档内容仅供研究参考，付费前请自行鉴别。如您付费，意味着您自己接受本站规则且自行承担风险，本站不退款、不进行额外附加服务；查看《如何避免下载的几个坑》。如果您已付费下载过本站文档，您可以点击这里二次下载。
3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等，请点击“版权申诉”（推荐），也可以打举报电话：400-050-0827(电话支持时间：9:00-18:30)。

加密解密：脱壳手记---Themida（） “衣带渐宽终不悔，为伊消得人憔悴” ? ? ? ? ? ? ? ? ? ? ? ------柳永《蝶恋花》王国维先生曾以此比喻治学之第二境，我想以此与仍然苦苦挣扎在KSSD大教室的诸君共勉！然则高版本的脱壳往往是建立在低版本之上，如果你对低版本已经有所了解可以忽略此处，如果需要了解可以看这里/showthread.php?t=172921 或移步KSSD 好了，进入正题！上OD先直接F9跑一次。程序结束后，将堆栈往上拉发现（图1）： ? 有个返回去反汇编窗口看看：代码: 0040147E ? ?8AD4 ? ? ? ? ? ?MOV DL,AH? ?8915 F4844000 ? MOV DWORD PTR DS:[4084F4],EDX? ?8BC8 ? ? ? ? ? ?MOV ECX,EAX? ?81E1 FF000000 ? AND ECX,0FF 0040148E ? ?890D F0844000 ? MOV DWORD PTR DS:[4084F0],ECX? ?C1E1 08 ? ? ? ? SHL ECX,8? ?03CA ? ? ? ? ? ?ADD ECX,EDX? ?890D EC844000 ? MOV DWORD PTR DS:[4084EC],ECX 0040149F ? ?C1E8 10 ? ? ? ? SHR EAX,10 004014A2 ? ?A3 E8844000 ? ? MOV DWORD PTR DS:[4084E8],EAX 004014A7 ? ?6A 00 ? ? ? ? ? PUSH 0 004014A9 ? ?E8 A80A0000 ? ? CALL sayhello.00401F56 004014AE ? ?59 ? ? ? ? ? ? ?POP ECX 004014AF ? ?85C0 ? ? ? ? ? ?TEST EAX,EAX 004014B1 ? ?75 08 ? ? ? ? ? JNZ SHORT sayhello.004014BB 004014B3 ? ?6A 1C ? ? ? ? ? PUSH 1C 004014B5 ? ?E8 9A000000 ? ? CALL sayhello004014BA ? ?59 ? ? ? ? ? ? ?POP ECX 004014BB ? ?8365 FC 00 ? ? ?AND DWORD PTR SS:[EBP-4],0 004014BF ? ?E8? ? CALL sayhello.00401C36 004014C4 ? ?E8 A0FA2E02 ? ? CALL 026F0F69 004014C9 ? ?90 ? ? ? ? ? ? ?NOP 004014CA ? ?A3 F8894000 ? ? MOV DWORD PTR DS:[4089F8],EAX 004014CF ? ?E8? ? CALL sayhello.00401B04 004014D4 ? ?A3 D0844000 ? ? MOV DWORD PTR DS:[4084D0],EAX 004014D9 ? ?E8 D9030000 ? ? CALL sayhello.004018B7 004014DE ? ?E8 1B030000 ? ? CALL sayhello.004017FE 004014E3 ? ?E8? ? CALL sayhello004014E8 ? ?A1? ? MOV EAX,DWORD PTR DS:[408504] 004014ED ? ?A3? ? MOV DWORD PTR DS:[408508],EAX 004014F2 ? ?50 ? ? ? ? ? ? ?PUSH EAX 004014F3 ? ?FF35 FC844000 ? PUSH DWORD PTR DS:[4084FC] 004014F9 ? ?FF35 F8844000 ? PUSH DWORD PTR DS:[4084F8] 004014FF ? ?E8 FCFAFFFF ? ? CALL sayhello00401504 ? ?83C4 0C ? ? ? ? ADD ESP,0C? ?8945 E4 ? ? ? ? MOV DWORD PTR SS:[EBP-1C],EAX 0040