寻找Themida Winlicense加壳程序oep的通用方法

寻找Themida Winlicense加壳程序oep的通用方法

以沉香宵老师的picknum为例，讲述如何寻找Themida Winlicense加壳后的程序oep。
od打开程序，alt+m在00401000段下内存写入断点，然后shift+F9, 不出意外的话会停在rep movs 这行代码上，取消内存写入断点后，命令行输入bp GetProcessHeap+c，然后F9，程序会停在retn 这行代码上，alt+m 在00401000段下内存访问断点，然后F9，这个程序是两次后到了oep，各个程序可能不太一样。
找到程序的oep只是万里长征第一步，某些程序还有很多后续的东西要改，大家接着自己玩吧。
所有技术均来自网络，仅供技术交流和探讨！

OD打开程序后的停留位置

alt+m，找到00401000开头的这行，鼠标右键，选择内存写入断点

shift+F9后程序停留的位置

在刚才下内存断点的地方删除断点

命令行输入bp GetProcessHeap+c，并按回车键

F9运行程序后停留位置

alt+m，选择00401000这行，鼠标右键选择内存访问断点

F9运行1次

F9运行第2次，看到“取数工具”，停留的位置就是程序的oep