|
真是怪了!有兴趣的说两句!
这个问题问得有趣:D |
|
Armadillo3.60 加壳的EXE文件脱壳全过程
最初由 limee 发布 你在401000上下 内存访问断点 试试.如果还不行建议你看看以前的关于这个壳的文章. |
|
Armadillo3.60 加壳的EXE文件脱壳全过程
最初由 limee 发布 怎么做不出来?遇到异常了? 是子进程. |
|
请教这是什么类型的Arm壳?
最初由 qdlsy 发布 仔细看一看你补得代码是否正确以及是否在401000处新建EIP. |
|
|
|
请教这是什么类型的Arm壳?
不好玩,安装这么麻烦,你还是把主程序放上来吧,否则,呵呵 |
|
发现一个新也不算新的招
OD菜单上的对应F7的"单步进入",F8"单步跳过"也没办法用? |
|
|
|
请教这是什么类型的Arm壳?
传上程序看看 |
|
老贴重贴:请脱壳,并给出程序的密码
OEP,IATRVA,IATSIZE以及注册码和FLY的一样.需要注意的是Magic Jump,在如下位置: 下断点:BP GetModuleHandleA+5,观察堆栈变化: ....... 0012C258 |00C05331 返回到 00C05331 来自 kernel32.GetModuleHandleA 0012C25C |0012C394 ASCII "advapi32.dll" 0012C3C0 |00C05B68 返回到 00C05B68 来自 kernel32.GetModuleHandleA 此时ALT+F9返回如下: 00C05B68 3945 08 cmp dword ptr ss:[ebp+8],eax ; Crack001.00400000 00C05B6B 75 07 jnz short 00C05B74 00C05B6D B9 E873C200 mov ecx,0C273E8 00C05B72 EB 52 jmp short 00C05BC6 00C05B74 393D E079C200 cmp dword ptr ds:[C279E0],edi 00C05B7A B9 E079C200 mov ecx,0C279E0 00C05B7F 0F84 93000000 je 00C05C18<===Magic Jump,修改为JMP 00C05B85 8B35 60D8C200 mov esi,dword ptr ds:[C2D860] 脱壳后的文件:附件:Crack001.rar |
|
Armadillo3.60 加壳的EXE文件脱壳全过程
为什么不能用?我这不是脱出来了吗?:) |
|
Armadillo3.60脱文的疑问
我就是在XP下脱的,怎么不能用? |
|
Armadillo3.60脱文的疑问
呵呵,是我说不清楚,还是你理解不了. 1.可以用WriteProcessMemory断到吗? 壳的入口点还用下断吗? 2.如果入口点不是 push ebp mov esp,ebp的指令该怎么办? 怎么办?是谁你就写谁嘛 |
|
Armadillo3.60脱文的疑问
还原00433999处代码代码,EB FE改为55 8B,接下来就要按照 其实也就是未脱壳的文件入口点的代码,因为附加时OD修改入口点代码变成了死循环,因此附加后你要修复,具体代码是什么,你可以用OD打开未脱壳的文件,看一看就知道了. |
|
|
|
|
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值