Archive for 一月, 2011

Themida保护程序找OEP

星期二, 25 一月, 2011

Notes for process: fraps 2011-1-25 7:06:51

仅限于Themida保护的程序和部分WinLiense保护的程序、- -WinLicense多一个证书果然要更衰一些
VirtualAlloc+n bp

返回后暴搜内存FF 74 24 24 FF 34 24
来到VStartVM
或者更简单的直接走两步,来到另一个类似于VMDispacher的地方
然后下条件断点[.IAT]!=0//就是数据窗口默认显示的地址
暂停后取消条件断点,.text段设置访问中断,运行、来到oep
Read the rest of this entry »