Detect all versions of Themida/WinLicense(更新……)

playboysen 发表于 2008-12-25 15:30

大家好！
Merry Christmas！
生蛋节了，没什么拿得出手能送大家做礼物的
正好看到What的文章Themida 1.9.1.0 - 2.0.5.0 (Finding Exact Version)，粗略看了一下，简单易学，不过每次都得重复操作一遍，不太方便，于是就想拿出来写个脚本，算是陪大家一起学习脚本写作吧

运行脚本，可以自动检测TMD加壳程序的确切版本号，便于你采取下一步行动！
没什么技术含量，高手掠过

感谢goldsun和peaceclub修正脚本；
感谢stupidass对特征码值的修正，同时对KooJiSung所做的测试工作给予充分肯定!
/*
FileName :Detect all versions of Themida/WinLicense
Features :If your target is packed with Themida/WinLicense,this script can help you detect its version.
            But you must note that this isn't a unpack-script for Themida.
Environment :WinXP,ODBYdyk V1.10,OllyScript V1.65
Support :Themida all versions (1.9.8.0-2.0.5.0)
Thanks    :What/goldsun/peaceclub/stupidass/KooJiSung
Author    :Playboysen
Date    :2008-12-25o_0Merry Christmas!
*/

var temp
var verStr
var verAddr
mov verAddr,0

bc                               //先清除一下断点
gpa "ZwContinue", "ntdll.dll"    //bp ZwContinue
bp $RESULT
loop:
esto
cmp ,0C0000096          //关键处的值应该为C0000096
jnz loop                         //循环比较关键值
bc
mov eax,
add eax,0B8
mov temp,
find temp,#000004000000#       //特征码
cmp $RESULT,0
jz exit
mov eax,$RESULT
add eax,6
mov verStr,"Themida/winlicense version: "
mov verAddr,eax
READSTR ,5
add verStr,$RESULT
msg verStr

exit:
ret

[ 本帖最后由 playboysen 于 2008-12-30 13:28 编辑 ]

evilangel 发表于 2008-12-25 18:10

:loveliness: 有一个大牛人啊不会写脚本也没有脱过T壳学习下

ximo 发表于 2008-12-25 18:30

好东西,学习了
楼主圣诞快乐~

小生我怕怕 发表于 2008-12-25 19:48

支持那么好的脚本,收藏!

zeger 发表于 2008-12-26 02:49

好东西！！！收藏了！！谢谢！！

sfl4800 发表于 2008-12-26 08:36

呵呵。方便多了。

13356393946 发表于 2008-12-28 16:18

收藏了！！谢谢！！

playboysen 发表于 2008-12-30 13:33

主贴更新：
1.自动弹出版本提示
2.修正极个别Themida版本号无法判断的Bug
3.修正特征值
4.一些代码优化

crackforchin 发表于 2009-9-3 13:42

那么好的脚本,收藏一个!

goodball32 发表于 2009-9-3 14:06

mark一下以后用得着

页: [1] 2

吾爱破解 - 52pojie.cn's Archiver

Detect all versions of Themida/WinLicense(更新……)