自写脚本脱Themida

大家好！我是风动鸣教程分析原理 难免会有纰漏 请大家多多指教 多多包涵

今天给大家带来的教程是 自写脚本脱Themida_v2.3.5.10

脱壳环境是：学破解论坛VM XP虚拟机
http://www./thread-9253-1-1.html


做教程之前学习了sure 以下这篇教程 非常感谢sure分享
http://www./thread-13373-1-1.html
本教程的课件跟他的一致

脚本是代替人工操作，节省时间，提高效率。
我们是怎么操作的，脚本就怎么操作。
代码逻辑加入了各种判断，以限制脚本按照我们的操作流程走，解放我们的双手。

脚本展示：






每个脚本写了实现原理，和适当的代码注释。
只要你懂原理，知道操作流程，你也一样能写出自己的脚本！

详细的代码赏析 回复可见

本帖隐藏的内容

1. //              OEP找法                  //
   
2. // 下断点bp ZwFreeVirtualMemory          //
   
3. // F9 N次 直到edi反复的出现一个值。      //
   
4. // 断在ZwFreeVirtualMemory，删除断点。   //
   
5. // 在代码段（.code）下内存访问断点       //
   
6. // F9运行-到达OEP 记录下eip              //
   
7. ///////////////////////////////////////////
   
8. //          www.             //
   
9. //                                       //
   
10. //             by 风动鸣                 //
    
11. //                                       //
    
12. //          2015年11月17日               //
    
13. //                                       //
    
14. //---------------定义变量----------------//
    
15. var temp
    
16. //用来保存edi的值
    
17. var CODE
    
18. //代码段首地址
    
19. var SIZE
    
20. //代码段大小
    
21. var OEP
    
22. //OEP地址
    
23. 
    
24. //-----------清除所有断点--------------- //
    
25. bc
    
26. //清除所有断点
    
27. bpmc
    
28. //清除内存断点
    
29. bphwcall
    
30. //清除硬断点
    
31. 
    
32. //-------------初始化断点-------------//
    
33. bp 7C92D38E
    
34. // xp下  bp ZwFreeVirtualMemory     
    
35. 
    
36. jmp going
    
37. // 跳到going 执行
    
38. going:
    
39. //初始化次数
    
40. esto                     
    
41. //Shift+F9 忽略所有异常运行 代替F9
    
42. cmp edi,0
    
43. //相等
    
44. je going
    
45. //否则
    
46. mov temp,edi
    
47. //保存edi的值
    
48. esto
    
49. //再运一次
    
50. cmp temp,edi
    
51. //如果变化了 就跳
    
52. jnz  going
    
53. //否则  edi到了关键地址
    
54. msg "edi反复不变 到了关键地址了"
    
55. bc
    
56. //清除所有断点
    
57. 
    
58. //---------根据实际情况 替换 代码段首地址和大小-------------//
    
59. mov CODE,00401000
    
60. //代码段首地址
    
61. mov SIZE,F7000   
    
62. //代码段大小
    
63. bprm CODE,SIZE         
    
64. //代码段下内存写入断点
    
65. esto
    
66. mov OEP,eip
    
67. bpmc
    
68. //清除内存断点
    
69. msg OEP
    
70. ret
    

复制代码

1. //          AB特征找法                   //
   
2. //    重载 代码段下内存写入断点          //
   
3. //    F9 F7 F8                           //
   
4. //    F9 直到AB出现 记录下EIP地址        //
   
5. //                                       //
   
6. //        API赋值代码地址找法            //
   
7. //        我已经定位好特特征码了         //
   
8. //         12D200FB4140FF31              //
   
9. ///////////////////////////////////////////
   
10. //          www.             //
    
11. //                                       //
    
12. //             by 风动鸣                 //
    
13. //                                       //
    
14. //          2015年11月17日               //
    
15. //                                       //
    
16. ///////////////////////////////////////////
    
17. 
    
18. //---------------定义变量----------------//
    
19. var CODE
    
20. //代码段首地址
    
21. var SIZE
    
22. //代码段大小
    
23. var ONLYONEAB
    
24. //AB特征地址
    
25. VAR API
    
26. //赋值真实API的代码地址
    
27. 
    
28. //-----------清除所有断点-------------//
    
29. bc
    
30. //清除所有断点
    
31. bpmc
    
32. //清除内存断点
    
33. bphwcall
    
34. //清除硬断点
    
35. 
    
36. //---------根据实际情况 替换 代码段首地址和大小-------------//
    
37. mov CODE,00401000
    
38. //代码段首地址
    
39. mov SIZE,F7000   
    
40. //代码段大小
    
41. 
    
42. //-------------初始化断点-------------//
    
43. bpwm CODE,SIZE         
    
44. //代码段下内存写入断点
    
45. 
    
46. esto                     
    
47. //Shift+F9 忽略所有异常运行 代替F9
    
48. sti                       
    
49. //F7 单步步入
    
50. sto                       
    
51. //F8 单步步过
    
52. 
    
53. findAB:
    
54. cmp [eip],#AB#,1
    
55. //当前将要执行的代码地址 的开头一个字节 是否为 AB
    
56. je goOk
    
57. esto  
    
58. jmp findAB
    
59. //跳到findAB开头继续向入执行
    
60. 
    
61. goOk:
    
62. mov ONLYONEAB,eip
    
63. bpmc
    
64. //清除内存断点
    
65. msg ONLYONEAB
    
66. 
    
67. find eip,#12D200FB4140FF31#  //搜索上面那段代码
    
68. mov  API,$RESULT //将搜索的eip地址给aa，也就是图上的771f9处
    
69. sub API,12
    
70. bp API
    
71. //赋值的代码地址 处 下断
    
72. esto
    
73. bc
    
74. //清除所有断点
    
75. msg API
    
76. ret

复制代码

1. // 原理：                                //
   
2. // 壳把真实的API函数代码写入到自己申请的 //
   
3. // 地址 再在代码段里自己来调用           //
   
4. // 所以我们要做的就是：                  //
   
5. // 在壳在代码段里写入调用自己函数调用后  //
   
6. // 替换回真实的调用地址                  //
   
7. // 替换后的两种情况：                    //
   
8. // call dword ptr ds:[IAT表函数地址]     //
   
9. // jmp dword ptr ds:[IAT表函数地址]      //
   
10. //                                       //
    
11. //          www.             //
    
12. //                                       //
    
13. //             by 风动鸣                 //
    
14. //                                       //
    
15. //          2015年11月17日               //
    
16. //                                       //
    
17. //---------------定义变量----------------//
    
18. var REALAPI
    
19. //真实的API函数地址
    
20. var IATAPI
    
21. //IAT表函数地址
    
22. var REPLACE
    
23. //替换代码的地址
    
24. var RECALL
    
25. //替换成 call dword ptr ds:[地址] 的特征码
    
26. var REJMP
    
27. //修改成 jmp dword ptr ds:[地址] 的特征码
    
28. var API
    
29. //赋值API的代码地址
    
30. var CODE
    
31. //代码段首地址
    
32. var SIZE
    
33. //代码段大小
    
34. var ONLYONEAB
    
35. //AB特征地址
    
36. var OEP
    
37. //OEP地址
    
38. 
    
39. //-----------清除所有断点-------------//
    
40. bc
    
41. //清除所有断点
    
42. bpmc
    
43. //清除内存断点
    
44. bphwcall
    
45. //清除硬断点
    
46. 
    
47. //------------替换实际的地址-------------//
    
48. mov API,00709E7C
    
49. //赋值API的代码地址
    
50. mov CODE,00401000
    
51. //代码段首地址
    
52. mov SIZE,F7000   
    
53. //代码段大小
    
54. mov ONLYONEAB,00709C55
    
55. //独一无二AB特征地址
    
56. mov OEP,00466C98
    
57. //OEP地址
    
58. 
    
59. //-------替换的特征码-------------//
    
60. mov RECALL,15FF
    
61. mov REJMP,25FF
    
62. 
    
63. //-------------初始化断点-------------//
    
64. bphws API,"x"        
    
65. //赋值api真实地址下硬件断点
    
66. bphws OEP,"x"        
    
67. //程序入口OEP下硬件断点
    
68. bpwm CODE,SIZE         
    
69. //代码段下内存写入断点
    
70. 
    
71. //-------------开始修复----------------//
    
72. esto                     
    
73. //Shift+F9 忽略所有异常运行
    
74. //异常界面设置好  可以用 run F9 运行 代替】
    
75. sti                       
    
76. //F7 单步步入
    
77. sto                       
    
78. //F8 单步步过
    
79. esto                  
    
80. 
    
81. strat:
    
82. mov [IATAPI],REALAPI
    
83. //把 真实的API地址 写入 IAT表函数地址
    
84. jmp strat2
    
85. 
    
86. strat2:
    
87. mov REALAPI,eax
    
88. //记录下一个 真实的API地址
    
89. esto
    
90. cmp eip,API
    
91. //当前要执行的代码地址 与 将要赋值API的代码地址 做比较
    
92. je strat2
    
93. //相等就跳
    
94. mov IATAPI,edx
    
95. //IAT表函数地址
    
96. esto
    
97. mov [IATAPI],REALAPI
    
98. //在 IAT表函数地址 里 填充 真实的API地址
    
99. cmp eip,API
    
100. je strat
     
101. cmp [eip],AA,1
     
102. je foriat
     
103. cmp eip,OEP
     
104. je end
     
105. jmp foriat
     
106. 
     
107. //循环修复IAT
     
108. foriat:
     
109. cmp [eip],#880B#,2
     
110. je foriat2
     
111. cmp eip,OEP
     
112. je end
     
113. cmp al,e9
     
114. je foriate9
     
115. cmp al,e8
     
116. je foriate8
     
117. mov REPLACE,edi
     
118. //下一个 替换代码的地址 = edi
     
119. esto
     
120. cmp al,e8
     
121. //修复FF15标签
     
122. je foriate8x
     
123. //修复FF25标签
     
124. jmp foriate9x
     
125. 
     
126. foriat2:
     
127. mov REPLACE,ebx
     
128. cmp al,e8
     
129. je iat1
     
130. cmp al,e9
     
131. je iat2
     
132. cmp cl,e8
     
133. je iat1
     
134. jmp iat2
     
135. 
     
136. //修复FF15
     
137. iat1:
     
138. esto
     
139. //运行之后 填充了 E8
     
140. esto
     
141. //运行之后  填充了 call的地址
     
142. //综合效果是 壳生成了自己的函数代码后 在代码段来调用
     
143. 
     
144. //下面就到我们来修复了
     
145. mov [REPLACE],RECALL
     
146. //往 替换代码的地址(目标地址) 替换两字节 为 FF15
     
147. add REPLACE,2
     
148. //向后移两位
     
149. mov [REPLACE],IATAPI
     
150. //替换为 IAT函数表的地址
     
151. //修改完后的效果为：call dword ptr ds:[0x487600]
     
152. cmp eip,API
     
153. je strat
     
154. cmp eip,OEP
     
155. je end
     
156. jmp foriat
     
157. 
     
158. //同修复FF25
     
159. iat2:
     
160. esto
     
161. esto
     
162. mov [REPLACE],REJMP
     
163. add REPLACE,2
     
164. mov [REPLACE],IATAPI
     
165. cmp eip,API
     
166. je strat
     
167. cmp eip,OEP
     
168. je end
     
169. jmp foriat
     
170. 
     
171. foriate8:
     
172. mov REPLACE,edi
     
173. esto
     
174. esto
     
175. mov [REPLACE],RECALL
     
176. //替换成 FF 15
     
177. //等价于call dword ptr ds:[IAT表函数地址]
     
178. add REPLACE,2
     
179. //替换代码的地址加2（就是向后移两位）
     
180. mov [REPLACE],IATAPI
     
181. //替换为IAT表函数的地址
     
182. cmp eip,API
     
183. je strat
     
184. jmp foriat
     
185. 
     
186. //循环修复FF15标签 修改完后的效果为：call dword ptr ds:[0x487600]
     
187. foriate8x:
     
188. esto
     
189. //运行之后 壳已经把 E8 写入代码段指定地址 如：【E8 90909090】
     
190. esto
     
191. //运行之后 壳已经把 真实的API地址 填充到代码段指定地址
     
192. //如：【E8 BB087076】 就是 call 76B2A4EE = call winmm.midiStreamOut
     
193. 
     
194. //下面就到我们来修复了
     
195. mov [REPLACE],RECALL
     
196. //往 替换代码的地址(目标地址) 替换两字节 为 FF15
     
197. add REPLACE,2
     
198. //向后移两位
     
199. mov [REPLACE],IATAPI
     
200. //替换为 IAT函数表的地址
     
201. //修改完后的效果为：call dword ptr ds:[0x487600]
     
202. cmp eip,API
     
203. je strat
     
204. jmp foriat
     
205. 
     
206. foriate9:
     
207. mov REPLACE,edi
     
208. esto
     
209. jmp doiate9
     
210. 
     
211. doiate9:
     
212. esto
     
213. cmp eip,ONLYONEAB
     
214. jnz doiate9
     
215. esto
     
216. mov [REPLACE],REJMP
     
217. add REPLACE,2
     
218. mov [REPLACE],IATAPI
     
219. jmp strat
     
220. 
     
221. //循环修复FF25标签
     
222. foriate9x:
     
223. esto
     
224. //运行之后 壳已经把 E9 写入代码段指定地址 如：【E9 90909090】
     
225. esto
     
226. //运行之后 壳已经把 真实的API地址 填充到代码段指定地址
     
227. //如：【E9 A7915F71】 就是 jmp 71A23FED
     
228. 
     
229. //下面就到我们来修复了
     
230. mov [REPLACE],REJMP
     
231. //往 替换代码的地址(目标地址) 替换两字节 为 FF25
     
232. add REPLACE,2
     
233. //向后移两位
     
234. mov [REPLACE],IATAPI
     
235. //替换为 IAT函数表的地址
     
236. //修改完后的效果为：jmp dword ptr ds:[0x487660]
     
237. cmp eip,API
     
238. je strat
     
239. cmp [eip],AA,1
     
240. je foriat
     
241. cmp eip,OEP
     
242. je end
     
243. jmp strat
     
244. 
     
245. end:
     
246. bc
     
247. bpmc
     
248. bphwcall
     
249. MSG "到达OEP IAT修复完毕"
     
250. ret
     

复制代码

具体脱壳流程：









































总结：学脱壳，先学写脚本——这是我的见解
许多大牛都分享了各种脱壳脚本，脚本是脱壳全过程的体现，浓缩了作者的脱壳思路，对壳的实现原理的理解。
所以要重视脚本，别把大牛分享的脚本只当成脱壳工具。
脚本适用范围小，而读懂脚本原理 你就能脱它不能脱的壳，你才是脚本的创作者！

脚本代码我是一步一步跟的，通过耐心跟踪 观察各种数据，总结经验。

希望对大家有所启发。

不怎么会表达 请大家见谅。

课件工具和脚本分享：

本帖隐藏的内容

链接：http://pan.baidu.com/s/1hqlTiAC 密码：tm9j
自写脚本脱Themida_v2.3.5.10.rar (7.93 MB, 下载次数: 53)