TMD WL脱壳技术深度与实践指南.pdfVIP

三．深度总结TMD/WL脱壳

说明：

1，请开启耳麦，这是语音

2，我机器的屏幕大，估计不适合多数朋友，所以我是在虚拟机中操作

的

3，屏幕已经设置分辨率为1024×768

4，操作环境：盗版XPSP3、裸奔

Tmd/WL现状：

关于tmd/wl，现在已经没什么强度了，大牛已经把他玩烂了，很少有用他的了

对于变种tmd，需要的只是稍微分析一下就可以搞定了，因为壳的架构是不可能被改掉的

之所以仍要学习他的脱法，个人觉得只是学习而已，没啥大用了，现在主流的加密是vmp，

如同几年前说的，至今没有人公开过可以还原被vm的程序。

所用的工具：OD、impr、loadpe、uif、OllySubScript.

现场加壳

今天的流程：

首先，看delphi的

一、脱壳

注意的问题：

1，再单步一次才可以补代码

2，Vc的程序一般不偷代码，需要注意

3，Vb的不讲，太典型了

二、分析

1，首先大体浏览一遍，熟悉各个指令

2，猜测变量的意思

3，单步，讲解

三、总结

1，delphi程序补代码的总结看下面

2，其他的，方法相同

3,，不是人，不通用，具体情况具体分析进行修改

四、无key脱壳

会遇到的主要问题：

1，找key名称

2，Vm

3，添加进去不管用的提示

4，Hc的中为什么到达oep为什么是004XXXXX

5，nooby的那个也可以用来无key脱壳

Delphi：

关于找oep：

第一个call内的时候，eax的地址距离oep不远，一直往下拉，一直到空数据处，那就是

oep最远的地方了，如果是乱码，那就ctrl+向上箭头，就可以看到callxxxx，WL的一

般偷15句，也就是倒数第二个call

0044DB70$55pushebp

0044DB71.8BECmovebp,esp

0044DB73.83C4F0addesp,-0x10

0044DB76.B890D94400moveax,btn.0044D990这个地址是

我们要寻找的

0044DB7B.E84880FBFFcallbtn.00405BC8这是call的第

一句的地址

0044DB80.A1C0EF4400moveax,dwordptrds:[0x44EFC0]这个地址的寻

找看一附注

0044DB85.8B00moveax,dwordptrds:[eax]

0044DB87.E880E6FFFFcallbtn.0044C20C

0044DB8C.8B0D9CF04400movecx,dwordptrds:[0x44F09C];

btn.00450BD0

0044DB92.A1C0EF4400moveax,dwordptrds:[0x44EFC0]

0044DB97.8B00