|
脱armadillo3.01-3.60a壳(VB)后修复IAT的问题。
那我该怎么来做呢?我已经没辙了,能教教我吗? |
|
脱armadillo3.01-3.60a壳(VB)后修复IAT的问题。
最初由 fxyang 发布 我把数据窗口定位在401000的,刚开始时全是0,当断在40260c的时候401000内的数据全是红字,这个时候是否是解码完成了呢?如果是,为什么数据都不正确呢?如果不是,该怎么来设置这个断点呢?请指教。 |
|
脱armadillo3.01-3.60a壳(VB)后修复IAT的问题。
百思不得其解啊?我的IAT地址里面正常的地址应该为73******,可是我修改了上述的那个magic jump ,然后下内存断点断住后,每次IAT地址里的值都不是73******,而是其它的值,比如下面这串值: 00401000 44 67 78 A9 F1 ED 76 A9 Dgx?眦 00401008 AB 66 78 A9 A5 F5 77 A9 ?x━貅 00401010 E5 36 78 A9 92 66 78 A9 ?x?fx 而且每次都在变,是不是我的magic jump地址改错了? 下面是我断在oep(40260c)时的数据: 0040260C 99 cdq 0040260D BD 7521F14D mov ebp,4DF12175 00402612 BB 9E0E5A4B mov ebx,4B5A0E9E 00402617 61 popad 00402618 F1 int1 00402619 A5 movs dword ptr es:[edi],dword ptr > 0040261A 4B dec ebx 0040261B 61 popad 0040261C C1A5 4B61A1A5>shl dword ptr ss:[ebp+A5A1614B],4B 00402623 61 popad 00402624 B1 A5 mov cl,0A5 00402626 4B dec ebx 00402627 61 popad 这是我脱壳后的文件oep处的数据: 0040260C d> 68 183E4000 push dumped.00403E18 00402611 E8 F0FFFFFF call dumped.00402606 00402616 0000 add byte ptr ds:[eax],al 00402618 0000 add byte ptr ds:[eax],al 0040261A 0000 add byte ptr ds:[eax],al 0040261C 3000 xor byte ptr ds:[eax],al 0040261E 0000 add byte ptr ds:[eax],al 00402620 50 push eax 00402621 0000 add byte ptr ds:[eax],al 请问到底哪儿出了问题? |
|
脱armadillo3.01-3.60a壳(VB)后修复IAT的问题。
fly老大,我看了你破解的每周××指南,感觉我要脱的这个软件和它太象了,你能讲讲你是怎么修复它的IAT吗?谢谢你了。 |
|
脱armadillo3.01-3.60a壳(VB)后修复IAT的问题。
感觉好像是解码的问题,我每次下401000内存断点,断在oep:40260c的时候,40260c处的代码都不一样,而且我的IAT开始地址在401000,长度为1e4,我每次在数据窗口里的401000开始的一大段地址看到的数据都不一样,真是太奇怪了? |
|
脱armadillo3.01-3.60a壳(VB)后修复IAT的问题。
谢谢老大,的确我才接触这个armadillo壳,我这几天把脱armadillo壳的文章都看遍了,可是还是没有找到好方法脱掉这个壳,伤神啊! |
|
脱armadillo3.01-3.60a壳(VB)后修复IAT的问题。
请高手们看一下,下面那里是不是就是magic jump啊: 00AC799B 8B0D E011AF00 mov ecx,dword ptr ds:[AF11E0] 00AC79A1 89040E mov dword ptr ds:[esi+ecx],eax 00AC79A4 A1 E011AF00 mov eax,dword ptr ds:[AF11E0] 00AC79A9 393C06 cmp dword ptr ds:[esi+eax],edi 00AC79AC 75 16 jnz short 00AC79C4 00AC79AE 8D85 B4FEFFFF lea eax,dword ptr ss:[ebp-14C] 00AC79B4 50 push eax 00AC79B5 FF15 CC80AE00 call dword ptr ds:[AE80CC] ; kernel32.LoadLibraryA 00AC79BB 8B0D E011AF00 mov ecx,dword ptr ds:[AF11E0] 00AC79C1 89040E mov dword ptr ds:[esi+ecx],eax 00AC79C4 A1 E011AF00 mov eax,dword ptr ds:[AF11E0] 00AC79C9 393C06 cmp dword ptr ds:[esi+eax],edi 00AC79CC 0F84 AD000000 je 00AC7A7F ★就是这里 00AC79D2 33C9 xor ecx,ecx 00AC79D4 8B03 mov eax,dword ptr ds:[ebx] 00AC79D6 3938 cmp dword ptr ds:[eax],edi 00AC79D8 74 06 je short 00AC79E0 00AC79DA 41 inc ecx 00AC79DB 83C0 0C add eax,0C 00AC79DE ^ EB F6 jmp short 00AC79D6 00AC79E0 8BC1 mov eax,ecx 00AC79E2 C1E0 02 shl eax,2 00AC79E5 50 push eax 00AC79E6 E8 0FFD0100 call 00AE76FA ; jmp to msvcrt.operator new 00AC79EB 59 pop ecx 00AC79EC 8B0D DC11AF00 mov ecx,dword ptr ds:[AF11DC] 我把je 00AC7A7F改成了jmp 00AC7A7F,然后在401000下内存断点,断下来后就用import rec来抓取,但是就是不能识别。 |
|
Elicense System V4.0脱壳――zMUD V7.05
虚心学习,认真领会。 |
|
脱armadillo3.01-3.60a壳(VB)后修复IAT的问题。
我用wdasm反编译了一下另外用VB写的程序,原来IMPORT表里只有msvbvm60.dll的,现在问题又来了,我用import rec不能识别明明是msvbvm60.dll的函数,我该怎么来修复呢,不会叫我一个一个的去手动改吧? |
|
脱armadillo3.01-3.60a壳(VB)后修复IAT的问题。
各位高手,谁能给我一点提示,现有的已脱壳文件已经有部分输入表了,我现在该怎么来修复剩余的呢?用import REC又只能找到另外的部分输入表,而且还不能修复(明明是MSVBVM60.DLL的)。期待高手解答。 |
|
脱armadillo3.01-3.60a壳(VB)后修复IAT的问题。
原来这个程序还用了乱序IAT,我晕哦,这个壳是个什么版本的armadillo啊,双进程+CopyMem-ll +Debug-Blocker,真的头有点大了! |
|
脱armadillo3.01-3.60a壳(VB)后修复IAT的问题。
谢谢,我现在改过来了,我发现这个程序是用VB写的,我在修复IAT的时候发现不能修复,按照“菜鸟手动脱Armadillo CopyMem-ll +Debug-Blocker壳全过程,超详细。。。 ”的方法import rec找到的全是不能修复的。另外,在强制解压代码完成后,我用wdasm反编译已经能看到GDI32.DLL、KERNEL32.DLL、USER32.DLL的输入函数了,但没有其它的输入函数。 |
|
脱armadillo3.01-3.60a壳(VB)后修复IAT的问题。
现在真的有问题了,我按照“菜鸟手动脱Armadillo CopyMem-ll +Debug-Blocker壳全过程,超详细。。。 ”的方法脱了壳,可是好像加载后没有到程序入口oep,我F8一阵后程序就终止了,真知道问题在哪里?程序的真实oep是40260c,可用OD加载时开头却是46A000,怪了? |
|
脱armadillo3.01-3.60a壳(VB)后修复IAT的问题。
不好意思,原来是我的lordpe的脱壳设置的问题,现在我已经能加载了,现在正继续脱壳中,也不知道能不能成功,要是还有问题再来请教各位高手,真的很对不起。 |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值