¹ØÓÚÈçºÎÐ޸ĠCr_Themida.exe µÄlogo 

±¾ÈËÒ²Ö»ÊÇ¿´ÁË¿´Ñ©ÂÛ̳  ww990  µÄÌáʾ²Å·¢ÏÖÈçºÎÐ޸ġ£ÔÚ´ËÏÈлл¡£

´Ë¶ÎºÃÏñÊÇͼÏñ½âÂ룺
0059B794      60            PUSHAD
0059B795      B8 38463978   MOV EAX,78394638
0059B79A      BB 36478934   MOV EBX,34894736
0059B79F      8D3D 64646700 LEA EDI,DWORD PTR DS:[676464]
0059B7A5  |.  33C9          XOR ECX,ECX
0059B7A7  |.  BA A0860100   MOV EDX,186A0
0059B7AC  |.  EB 0A         JMP SHORT Cr_Themi.0059B7B8
0059B7AE  |>  291F          /SUB DWORD PTR DS:[EDI],EBX
0059B7B0  |.  3107          |XOR DWORD PTR DS:[EDI],EAX
0059B7B2  |.  83C1 04       |ADD ECX,4
0059B7B5  |.  83C7 04       |ADD EDI,4
0059B7B8  |>  3BCA           CMP ECX,EDX
0059B7BA  |.^ 72 F2         \JB SHORT Cr_Themi.0059B7AE
0059B7BC  |.  61            POPAD
0059B7BD  \.  C3            RETN
½âÂëºóͼÏñ±£´æµÄµØ·½ºÃÏñÊÇ£º
00676464  42 4D D6 7C 01 00 00 00 00 00 36 04 00 00 28 00  BMÖ|.....6..(.
00676474  00 00 0A 02 00 00 B8 00 00 00 01 00 08 00 00 00  .....?......
00676484  00 00 A0 78 01 00 C4 0E 00 00 C4 0E 00 00 00 00  .._x.?..?....
00676494  00 00 00 00 00 00 00 00 00 00 00 00 80 00 00 80  ............€..€
¼ÓÃÜÇ°µÄͼÏñÊý¾ÝºÃÏñÒ²ÊÇ00676464
¾ÍÊÇ»¹Ã»ÓÐÕÒµ½Æƽâµã£¬ÓôÃÆÖÐ.....

ÏÖÔÚÓàflyODBG ÔØÈë Cr_Themida.exe È»ºóCtrl+g µ½  0059B794  Ï¶ϠȻºóÔËÐÐ
Ö®ºóÑ¡ÔñÒ»¸öEXE ¼Ó¿Ç µÈ´ýËû¸ãµ½Ò»°ã×óÓÒ¾ÍÊÇ»á¶ÏÔÚ 
0059B794  ´úÂëÈçÉÏÃæ ÕâÀïÎÒÃÇÔÚÌù³öÀ´Ï¡£¡£

0059B794   /$  60             PUSHAD //¶ÏÔÚÕâ ¡£
0059B795   |.  B8 38463978    MOV EAX, 78394638
0059B79A   |.  BB 36478934    MOV EBX, 34894736
0059B79F   |.  8D3D 64646700  LEA EDI, DWORD PTR DS:[676464]  //ͼƬ±£´æµØÖ·¡£
0059B7A5   |.  33C9           XOR ECX, ECX
0059B7A7   |.  BA A0860100    MOV EDX, 186A0       // Í¼Æ¬Êý¾Ý³¤¶È¡£¡£
0059B7AC   |.  EB 0A          JMP SHORT Cr_Themi.0059B7B8
0059B7AE   |>  291F           /SUB DWORD PTR DS:[EDI], EBX  //Õâ¸ö¼Ó34894736
0059B7B0   |.  3107           |XOR DWORD PTR DS:[EDI], EAX  //Õâ¸öÊÇXOR 78394638
0059B7B2   |.  83C1 04        |ADD ECX, 4
0059B7B5   |.  83C7 04        |ADD EDI, 4
0059B7B8   |>  3BCA            CMP ECX, EDX
0059B7BA   |.^ 72 F2          \JB SHORT Cr_Themi.0059B7AE
0059B7BC   |.  61             POPAD                      //½âÃÜÍê³É¡£¡£¡£¡£
0059B7BD   \.  C3             RETN                    //Æäʵ¼ÓÃܵľÍÔÚÏÂÃæ¡£¡£¡£¡£
0059B7BE   /$  60             PUSHAD               //ÕâÀïÊÇÓÃÍêÖ®ºó¼ÓÃÜ»ØÈ¥µÄ´úÂë¡£¡£²»¹ÜËû¡£
0059B7BF   |.  B8 38463978    MOV EAX, 78394638
0059B7C4   |.  BB 36478934    MOV EBX, 34894736
0059B7C9   |.  8D3D 64646700  LEA EDI, DWORD PTR DS:[676464]
0059B7CF   |.  33C9           XOR ECX, ECX
0059B7D1   |.  BA A0860100    MOV EDX, 186A0
0059B7D6   |.  EB 0A          JMP SHORT Cr_Themi.0059B7E2
0059B7D8   |>  3107           /XOR DWORD PTR DS:[EDI], EAX
0059B7DA   |.  011F           |ADD DWORD PTR DS:[EDI], EBX
0059B7DC   |.  83C1 04        |ADD ECX, 4
0059B7DF   |.  83C7 04        |ADD EDI, 4
0059B7E2   |>  3BCA            CMP ECX, EDX
0059B7E4   |.^ 72 F2          \JB SHORT Cr_Themi.0059B7D8
0059B7E6   |.  61             POPAD
0059B7E7   \.  C3             RETN



µ±´úÂëµ½ÁË0059B7BC Ö®ºóÍ£ÏÂÀ´¿´¿´ 
00676464  42 4D D6 7C 01 00 00 00 00 00 36 04 00 00 28 00  BMÖ|.....6..(.
00676474  00 00 0A 02 00 00 B8 00 00 00 01 00 08 00 00 00  .....?......
00676484  00 00 A0 78 01 00 C4 0E 00 00 C4 0E 00 00 00 00  .._x.?..?....
00676494  00 00 00 00 00 00 00 00 00 00 00 00 80 00 00 80  ............€..€

ww990 ÐÖµÜ˵µÃºÜÇå³þÁË¡£¡£ ¾­¹ý¹Û²ì ÎҾͿɰÑÕâ¸ö´Ó676464 ¿ªÊ¼ Êý¾Ý´óСΪ97496 µÄÈ¡³öÀ´ ±£´æΪ BMP Îļþ


È»ºó×Ô¼º±à¼­³É×Ô¼ºÏ²»¶µÄ¡£¡£¡£ ÔÙÓÃ2½øÖƸ´ÖÆ Õ³»ØÈ¥¡£¡£¡£ È»ºóÔÚ 0059B7BE Ï¶ϡ£¡£
ÕâÊǼÓÃÜ»áÈ¥µÄ¡£¡£È»¾ÍF4 µ½0059B7E6 

0059B7BE   /$  60             PUSHAD               //ÕâÀïÊÇÓÃÍêÖ®ºó¼ÓÃÜ»ØÈ¥µÄ´úÂë¡£¡£²»¹ÜËû¡£
0059B7BF   |.  B8 38463978    MOV EAX, 78394638
0059B7C4   |.  BB 36478934    MOV EBX, 34894736
0059B7C9   |.  8D3D 64646700  LEA EDI, DWORD PTR DS:[676464]
0059B7CF   |.  33C9           XOR ECX, ECX
0059B7D1   |.  BA A0860100    MOV EDX, 186A0
0059B7D6   |.  EB 0A          JMP SHORT Cr_Themi.0059B7E2
0059B7D8   |>  3107           /XOR DWORD PTR DS:[EDI], EAX
0059B7DA   |.  011F           |ADD DWORD PTR DS:[EDI], EBX
0059B7DC   |.  83C1 04        |ADD ECX, 4
0059B7DF   |.  83C7 04        |ADD EDI, 4
0059B7E2   |>  3BCA            CMP ECX, EDX
0059B7E4   |.^ 72 F2          \JB SHORT Cr_Themi.0059B7D8
0059B7E6   |.  61             POPAD
0059B7E7   \.  C3             RETN

µ½ÁË 0059B7E6 Ö®ºó¾Í¿ÉÒÔ±£´æÎÒÃǾÍÐ޸ĵIJ¿·Ö´Ó676464 ¿ªÊ¼ Êý¾Ý´óСΪ97496 µ½ÐÂÎļþ¡£¡£¡£ Õâ¾ÍÍê³ÉÁË¡£¡£¡£

 
¸½ÉÏÒþ²Ølogo µÄ°ì·¨¡£¡£¡£

0059B794   /$  60             PUSHAD //¶ÏÔÚÕâ ¡£
0059B795   |.  B8 38463978    MOV EAX, 78394638
0059B79A   |.  BB 36478934    MOV EBX, 34894736
0059B79F   |.  8D3D 64646700  LEA EDI, DWORD PTR DS:[676464]  //ͼƬ±£´æµØÖ·¡£
0059B7A5   |.  33C9           XOR ECX, ECX
0059B7A7   |.  BA A0860100    MOV EDX, 186A0       // Í¼Æ¬Êý¾Ý³¤¶È¡£¡£
0059B7AC   |.  EB 0A          JMP SHORT Cr_Themi.0059B7B8
0059B7AE   |>  291F           /SUB DWORD PTR DS:[EDI], EBX  //Õâ¸ö¼Ó34894736
0059B7B0   |.  3107           |XOR DWORD PTR DS:[EDI], EAX  //Õâ¸öÊÇXOR 78394638
0059B7B2   |.  83C1 04        |ADD ECX, 4
0059B7B5   |.  83C7 04        |ADD EDI, 4
0059B7B8   |>  3BCA            CMP ECX, EDX
0059B7BA   |.^ 72 F2          \JB SHORT Cr_Themi.0059B7AE
0059B7BC   |.  61             POPAD                      //½âÃÜÍê³É¡£¡£¡£¡£
0059B7BD   \.  C3             RETN                    //Æäʵ¼ÓÃܵľÍÔÚÏÂÃæ¡£¡£¡£¡£

ÔÚ0059B7BD Ï¶ϠȻºóÐÞ¸Ä

00676464  42 4D D6 7C 01 00 00 00 00 00 36 04 00 00 28 00  BMÖ|.....6..(.
00676474  00 00 0A 02 00 00 B8 00 00 00 01 00 08 00 00 00  .....?......
00676484  00 00 A0 78 01 00 C4 0E 00 00 C4 0E 00 00 00 00  .._x.?..?....
00676494  00 00 00 00 00 00 00 00 00 00 00 00 80 00 00 80  ............€..€
006764A4  00 00 00 80 80 00 80 00 00 00 80 00 80 00 80 80  ...€€.€...€.€.€€
006764B4  00 00 C0 C0 C0 00 C0 DC C0 00 F0 CA A6 00 00 20  ..ÀÀ?ÀÜ?ðÊ?.
006764C4  40 00 00 20 60 00 00 20 80 00 00 20 A0 00 00 20  @.. `.. €.. ?.
006764D4  C0 00 00 20 E0 00 00 40 00 00 00 40 20 00 00 40  ?. ?.@...@ ..@
006764E4  40 00 00 40 60 00 00 40 80 00 00 40 A0 00 00 40  @..@`..@€..@?.@
006764F4  C0 00 00 40 E0 00 00 60 00 00 00 60 20 00 00 60  ?.@?.`...` ..`
00676504  40 00 00 60 60 00 00 60 80 00 00 60 A0 00 00 60  @..``..`€..`?.`
00676514  C0 00 00 60 E0 00 00 80 00 00 00 80 20 00        ?.`?.€...€ ..€

ÐÞ¸ÄΪ£º

00676464  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................
00676474  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................
00676484  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................
00676494  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................
006764A4  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................
006764B4  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................
006764C4  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................
006764D4  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................
006764E4  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................
006764F4  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................
00676504  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................
00676514  00 00 00 00 00 00 00 00 00 00 00 00 00 00        ..............

È»ºóÈÃËû¼ÓÃÜ»ØÈ¥¡£¡£¡£ÔÚ 0059B7E7   \.  C3             RETN Ï¶Ï


È»ºó¾Í°ÑËü±£´æµ½Ò»¸öеÄEXE ... ÕâÑù¾Í¿ÉÒÔ´ïµ½ Òþ²Ølogo µÄÄ¿µÄ¡£¡£¡£