能力值:
( LV2,RANK:10 )
|
-
-
Armadillo V4.X CopyMem-II脱壳――魔法转换(Magic Converter) V4.0正式版
一个程序,用fi查 显示 Armadillo 2.5? {glue} SRT
启动后 有两个进程,看了 飞舞T恤 按键精灵3 的帖子
我也是
遇到
mov eax,dword ds:[eax+esi+4]
出错 不成功!
然后按照他下面的方法,没遇到什么问题,可是dump出来的东西不象啊,找不到FF25
好不容易 找到一个 可是后面的 jmp dword ptr:ds:[f77**]这样肯定不对吧?
接下来用了fly 这个帖子里面的方法,前面都顺利 直到最后跟踪
bp GetTickCount,不能直接返回主程序,发现不是主程序直接调用的GetTickCount,而是Loadlib api 调用的,
看来这个壳 后来就没有用GetTickCount来破坏IAT,
要是这样的话怎么找函数输入表的开始地址啊?
还有
用以上两种方法 找到的oep 不一样,到底哪个是对的?
用fly的方法dump出来的程序找到的 FF25 后面 jmp dword ptr:ds:[56449*],也挺怪,也不象,
现在糊涂了,不知道这个程序到底用的什么方式加的壳,,
还有别的方法吗?
谢谢
|
能力值:
( LV2,RANK:10 )
|
-
-
[求助]寻一个这样的壳!
哪一个 可以生成 独立的注册机啊?
就是脱离加壳软件的能够根据硬件号 生成序列号的那种注册机!
|