碰上了这个壳,具体文件就不说了百度查了一圈找不到相关文章?难道要手脱?濒临绝望之前,看到了国外某大佬的文章,链接:98cK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6*7k6h3&6Z5j5i4S2Q4x3X3g2U0L8$3#2Q4x3V1k6$3K9h3g2%4N6r3!0H3K9h3y4Q4x3X3g2H3K9s2m8Q4x3@1k6X3i4K6y4p5y4q4)9J5y4X3q4E0M7q4)9K6b7Y4c8Q4x3@1b7I4x3o6f1I4d9r3g2D9L8r3)9`.来看过程吧
PEID查壳
脱壳需要的文件如下:OD插件:ODBGScript v1.82.6StrongOD 0.4.8.892PhantOm 1.79ARImpRec.dll脱壳脚本(Themida - Winlicense Ultra Unpacker 1.4)
文件会在文末留下链接
在使用脱壳脚本之前,需要修改一下ARImpRec.dll的路径。打开脚本文件搜索HERE_ENTER_YOUR_DLL_PATH_TO_ARIMPREC_DLL:在324行中修改为你存储此dll的绝对路径。
还有一点需要注意的就是,要使用英文版本的OD,下图中的OllyDBG.exe,然后备份OllyDBG.ini文件。并创建一个新的OllyDBG.ini,使其文件内容为空
打开OllDBG.exe,加载待脱壳文件,然后加载脚本运行脚本点击是
点击否
脚本已经开始工作了
在运行几秒后,脚本暂停在了上图的位置,继续运行脚本即可
随后我们获得了如下图的弹窗,需要在OllyDBG.ini文件中,根据提示修改文件,并重新运行脚本,我在文末的打包文件中已经修改好了
关掉弹窗,继续运行
点击是,进行更多的检查
在这一步,点击否
如果你在虚拟机中运行点击时,真机的话点击否就好了
搞定了,现在可以进行dump了,点击是
按照上图说的去做,第一次看到这个弹窗,点击否,不是第一次点击是
文件大小可以接受,不需要压缩,点击是一些文件信息,点击是OK,脱壳结束,脱壳的文件被命名为<原文件名>_DP。再来查一下壳
公众号回复:Themida
即可下载文中所需文件哦。
搞定。
[培训]《冰与火的战歌:Windows内核攻防实战》!从零到实战,融合AI与Windows内核攻防全技术栈,打造具备自动化能力的内核开发高手。
最后于 2019-10-23 20:37
被Hasic编辑
,原因:
---
来源: 看雪论坛
原文链接: https://bbs.kanxue.com/thread-255174.htm