|
[求助]书里的作者赵勇 论坛ID是什么
哦 江阴的可以碰头 聚餐 讨论技术。 |
|
[求助]sentinel LM问题
可以手动跟踪找到地址 而且各版本都能找到的 这是最有效的办法。 |
|
[讨论]你们发现谁是潜水王,活跃王呢?
我也很少的 我也很少的 |
|
[求助]高手帮忙.破Armadillo的壳
你都拒绝别人加为好友了 |
|
|
|
Armadillo 1.xx - 2.xx -> Silicon Realms Toolworks 脱壳后的自校验问题
我说过了 你没有处理Strategic Code Splicing 你还是回头吧 |
|
Armadillo 1.xx - 2.xx -> Silicon Realms Toolworks 脱壳后的自校验问题
Strategic Code Splicing 这个你忘了处理一下。 |
|
|
|
[讨论]脱Armadillo3.XX的非标准壳
我看看 我下了个7.0.2.172版本 |
|
[ZT]Armadillo v4.48 released
双核+vmware 也不能运行 不过 我到笔记本非双核的机器上可以运行 脱了壳全修复好,再放到双核电脑上可以运行了 并可以跨平台,看来是壳的问题。 |
|
[ZT]Armadillo v4.48 released
双核运行不了 |
|
[转帖]Armadillo_v4.48_Beta_1_Unpacked_Z0oMiK
用arminline 修复的 api 及cc 都不能跨平台工作 并且一部分cc修复的不好 如 生成注册码菜单一项里。 |
|
|
|
Armadillo 壳问题
iat rva都为0 是因为你没有用ImprotREC 处理iat表 修复后 用 loadpe修正基址功能 修正dll基址。 text1段是arm自己的oep所在段 真正oep在text 段里 不知道你设置的断点是什么?还你有描述的loadpe dump有问题 具体提示是什么。 |
|
[求助]关于围棋助手完整版8.76的脱壳问题
这个程序不难,不过校验点多些,且运用mfc函数后 异常让程序嵌入死循环 且用了多线程来校验 对新手来说难于入手。 1: 0041B134 E8 29140700 call bfGo600.0048C562 ; jmp to MFC42.#3318 0041B139 8BF0 mov esi,eax 0041B13B 56 push esi 0041B13C E8 B5130700 call bfGo600.0048C4F6 ; jmp to MFC42.#823 0041B141 83C4 04 add esp,4 0041b134 处的call是读出当前文件的容量 16进制 未脱壳是57e00脱了必定大于这个数 因为是upx压缩的。 下面代码空间不够 可以在这里打个补丁。 2: 0041B1CA /79 05 jns short bfGo600.0041B1D1 0041B1CC |4B dec ebx 0041B1CD |83CB FC or ebx,FFFFFFFC 0041B1D0 |43 inc ebx 0041B1D1 \8B4424 18 mov eax,dword ptr ss:[esp+18] 0041B1D5 43 inc ebx 0041B1D6 03FE add edi,esi 0041B1D8 0FBE00 movsx eax,byte ptr ds:[eax] 0041B1DB 99 cdq 0041B1DC F7FB idiv ebx 0041B1DE 8BD8 mov ebx,eax 0041B1E0 8BC1 mov eax,ecx 0041B1E2 99 cdq 0041B1E3 F7FF idiv edi 0041B1E5 0FBE16 movsx edx,byte ptr ds:[esi] 0041B1E8 03D8 add ebx,eax 0041B1EA 3BDA cmp ebx,edx 0041B1EC 0F85 9D000000 jnz bfGo600.0041B28F 0041B1F2 8B7C24 18 mov edi,dword ptr ss:[esp+18] 0041B1F6 8B4424 28 mov eax,dword ptr ss:[esp+28] 0041B1FA 41 inc ecx 0041B1FB 83C7 05 add edi,5 0041B1FE 46 inc esi 0041B1FF 3BC8 cmp ecx,eax 0041B201 897C24 18 mov dword ptr ss:[esp+18],edi 0041B205 ^ 7C B0 jl short bfGo600.0041B1B7 这里是将内存的中的文件与未脱的文件进行内部比较 一个一个对比,不相同就跳下 jnz bfGo600.0041B28F mov al,1 ret后再次死循环 nop掉这处即可。 3: 程序中 运算 保存等 比较了未脱壳的文件大小值 57e00 00431B32 3D 007E0500 cmp eax,57E00 00431B37 74 22 je short bfGo600.00431B5B 00431B39 E8 CCAA0500 call bfGo600.0048C60A ; jmp to MFC42.#1168 0043B9A4 3D 007E0500 cmp eax,57E00 0043B9A9 74 22 je short bfGo600.0043B9CD 0043B9AB E8 5A0C0500 call bfGo600.0048C60A ; jmp to MFC42.#1168 0043E8D4 3D 007E0500 cmp eax,57E00 0043E8D9 74 22 je short bfGo600.0043E8FD 0043E8DB E8 2ADD0400 call bfGo600.0048C60A ; jmp to MFC42.#1168 累计3处。 4: 最后一处新手不易发现,程序还是死循环 留意一下 会发现在线程里,不过od无法中断在线程创建处,可以在一开始的 call mfc...那个死循环调用所以命令处设断。 中间有好多异常,需要小心处理 才能断在如下 : 00479DF2 3C 61 cmp al,61 00479DF4 74 47 je short bfGo600.00479E3D 00479DF6 3C C1 cmp al,0C1 00479DF8 74 43 je short bfGo600.00479E3D 00479DFA 3C 03 cmp al,3 00479DFC 74 3F je short bfGo600.00479E3D 00479DFE 3C 48 cmp al,48 00479E00 74 3B je short bfGo600.00479E3D 00479E02 E8 EB270100 call bfGo600.0048C5F2 ; jmp to MFC42.#1175 这4处 再次比较 相等即可。 |
|
[ZT]ArmInline v0.96f(Final Version)+Source
Requirements: -------------- Windows XP SP1/SP2/2000. 终于肯定说支持2000了,我看了一下,发现还是一样不支持2000的,我指的是CC修复 问题出在这里 DebugActiveProcessStop这个api只有xp上才有,所以即使在xp下把cc save下来,到2000上直接load 修复成功 也是不能运行的。我看看能不能改一下 Nanolib.dll。 |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值