Detect all versions of Themida/WinLicense(更新……)

playboysen

大家好！
    Merry Christmas！
    生蛋节了，没什么拿得出手能送大家做礼物的
    正好看到What的文章ThemIDA 1.9.1.0 - 2.0.5.0 (Finding Exact Version)，粗略看了一下，简单易学，不过每次都得重复操作一遍，不太方便，于是就想拿出来写个脚本，算是陪大家一起学习脚本写作吧

    运行脚本，可以自动检测TMD加壳程序的确切版本号，便于你采取下一步行动！
    没什么技术含量，高手掠过
   
    感谢goldsun和peaceclub修正脚本；
    感谢stupidass对特征码值的修正，同时对KooJiSung所做的测试工作给予充分肯定!

/*
FileName    :  Detect all versions of Themida/WinLicense        
Features    :  If your target is packed with Themida/WinLicense,this script can help you detect its version. 
               But you must note that this isn't a unpack-script for Themida.
Environment :  WinXP,ODBYdyk V1.10,OllyScript V1.65            
Support     :  Themida all versions (1.9.8.0-2.0.5.0)
Thanks      :  What/goldsun/peaceclub/stupidass/KooJiSung            
Author      :  Playboysen                                      
Date        :  2008-12-25  o_0  Merry Christmas!  
*/

var temp
var verStr
var verAddr
mov verAddr,0

bc                                  //先清除一下断点
gpa "ZwContinue", "ntdll.dll"       //bp ZwContinue
bp $RESULT
loop:
esto
cmp [esp+0C],0C0000096             //关键处的值应该为C0000096   
jnz loop                           //循环比较关键值
bc
mov eax,[esp+4]
add eax,0B8
mov temp,[eax]
find temp,#000004000000#          //特征码
cmp $RESULT,0
jz exit
mov eax,$RESULT
add eax,6 
mov verStr,"Themida/winlicense version: "
mov verAddr,eax
READSTR [verAddr],5
add verStr,$RESULT
msg verStr

exit:
ret

[ 本帖最后由 playboysen 于 2008-12-30 13:28 编辑 ]

evilangel

      有一个大牛人啊   不会写脚本  也没有脱过T壳   学习下

ximo

好东西,学习了[s:372] [s:372]
楼主圣诞快乐~[s:365]

小生我怕怕

支持那么好的脚本,收藏!

zeger

好东西！！！收藏了！！谢谢！！

sfl4800

呵呵。方便多了。

13356393946

收藏了！！谢谢！！

playboysen

主贴更新：
1.自动弹出版本提示
2.修正极个别Themida版本号无法判断的Bug
3.修正特征值
4.一些代码优化

crackforchin

那么好的脚本,收藏一个!

goodball32

mark一下 以后用得着