|
|
|
[求助]Armadillo脱壳请教
设置Ollydbg忽略所有异常,用IsDebug 1.4插件去掉Ollydbg的调试器标志。 OD 载入 00433049 >/$ 55 PUSH EBP 0043304A |. 8BEC MOV EBP,ESP 0043304C |. 6A FF PUSH -1 0043304E |. 68 48824500 PUSH 全能王2_.00458248 00433053 |. 68 902A4300 PUSH 全能王2_.00432A90 ; SE 处理程序安装 00433058 |. 64:A1 0000000>MOV EAX,DWORD PTR FS:[0] 分离父子进程: 下断点BP OpenMutexA F9运行中断后,看堆栈: 0012F5B4 00429D8C /CALL 到 OpenMutexA 来自 全能王2_.00429D86 0012F5B8 001F0001 |Access = 1F0001 0012F5BC 00000000 |Inheritable = FALSE 0012F5C0 0012FBF4 \MutexName = "40C::DA92C73110" 在CPU窗口中 Ctrl+G:401000 键入以下代码: 00401000 60 PUSHAD 00401001 9C PUSHFD 00401002 68 F4FB1200 PUSH 12FBF4 ; ASCII "40C::DA92C73110" 00401007 33C0 XOR EAX,EAX 00401009 50 PUSH EAX 0040100A 50 PUSH EAX 0040100B E8 2FD9407C CALL kernel32.CreateMutexA 00401010 9D POPFD 00401011 61 POPAD 00401012 - E9 04DA407C JMP kernel32.OpenMutexA 60 9C 68 F4 FB 12 00 33 C0 50 50 E8 2F D9 40 7C 9D 61 E9 04 DA 40 7C 90 在 401000 处点鼠标右键 "此处为新 EIP",F9运行,再次中断在OpenMutexA处,清除 OpenMutexA 断点.此时Ctrl+G:401000 撤销刚才的修改 的代码,使代码还原。OK,父进程分离完毕! 2 避开IAT加密 下断点 HE GetModuleHandleA F9运行 7C80B6A1 > 8BFF MOV EDI,EDI \\删除硬件断点 7C80B6A3 55 PUSH EBP 7C80B6A4 8BEC MOV EBP,ESP 7C80B6A6 837D 08 00 CMP DWORD PTR SS:[EBP+8],0 7C80B6AA 74 18 JE SHORT kernel32.7C80B6C4 \\下断,F2 按F9,注意堆栈 **************** 0012ED48 /0012ED64 0012ED4C |77F45BD8 返回到 77F45BD8 来自 kernel32.GetModuleHandleA 0012ED50 |77F4501C ASCII "KERNEL32.DLL" 0012E53C /0012E574 0012E540 |5D175394 返回到 5D175394 来自 kernel32.GetModuleHandleA 0012E544 |5D1753E0 ASCII "kernel32.dll" 0012F55C /0012F5BC 0012F560 |00429073 返回到 全能王2_.00429073 来自 kernel32.GetModuleHandleA 0012D28C |00A9519B 返回到 00A9519B 来自 kernel32.GetModuleHandleA 0012D290 |0012D3C8 ASCII "kernel32.dll" 0012D288 /0012D514 0012D28C |00A9519B 返回到 00A9519B 来自 kernel32.GetModuleHandleA 0012D290 |0012D3C8 ASCII "user32.dll" 0012D288 /0012D514 0012D28C |00A9519B 返回到 00A9519B 来自 kernel32.GetModuleHandleA 0012D290 |0012D3C8 ASCII "MSVBVM60.DLL" 0012CB4C /0012CB94 0012CB50 |73391BC1 返回到 73391BC1 来自 kernel32.GetModuleHandleA 0012CB54 |73393DBC ASCII "kernel32.dll" 0012CB58 |73391B60 返回到 73391B60 来自 73391B8C 0012CB44 |73392858 返回到 73392858 来自 kernel32.GetModuleHandleA 0012CB48 |73393DE8 ASCII "KERNEL32" 0012CB4C |73392808 返回到 73392808 来自 7339284D 0012CB50 |733927D9 返回到 733927D9 0012CB54 |73391C66 返回到 73391C66 来自 733927CE 0012CB58 |73391B60 返回到 73391B60 来自 73391B8C 0012CB38 /0012CB54 0012CB3C |73393208 返回到 73393208 来自 kernel32.GetModuleHandleA 0012CB40 |00000000 0012CB44 |73393172 返回到 73393172 来自 733931F7 0012D288 /0012D514 0012D28C |00A9519B 返回到 00A9519B 来自 kernel32.GetModuleHandleA 0012D290 |0012D3C8 ASCII "advapi32.dll" 0012F018 00AA5FA4 返回到 00AA5FA4 来自 00AA64EC F9 程序中止 ************************************************** 我选择在这个地方返回: 0012D28C |00A9519B 返回到 00A9519B 来自 kernel32.GetModuleHandleA 0012D290 |0012D3C8 ASCII "kernel32.dll" 返回到这里: 00A9519B 8B0D 80D7AB00 MOV ECX,DWORD PTR DS:[ABD780] 00A951A1 89040E MOV DWORD PTR DS:[ESI+ECX],EAX 00A951A4 A1 80D7AB00 MOV EAX,DWORD PTR DS:[ABD780] 00A951A9 393C06 CMP DWORD PTR DS:[ESI+EAX],EDI 00A951AC 75 16 JNZ SHORT 00A951C4 00A951AE 8D85 B4FEFFFF LEA EAX,DWORD PTR SS:[EBP-14C] 00A951B4 50 PUSH EAX 00A951B5 FF15 B850AB00 CALL DWORD PTR DS:[AB50B8] ; kernel32.LoadLibraryA 00A951BB 8B0D 80D7AB00 MOV ECX,DWORD PTR DS:[ABD780] 00A951C1 89040E MOV DWORD PTR DS:[ESI+ECX],EAX 00A951C4 A1 80D7AB00 MOV EAX,DWORD PTR DS:[ABD780] 00A951C9 393C06 CMP DWORD PTR DS:[ESI+EAX],EDI 00A951CC 0F84 AD000000 JE 00A9527F \\修改为JMP 00A9527F 00A951D2 33C9 XOR ECX,ECX 00A951D4 8B03 MOV EAX,DWORD PTR DS:[EBX] 00A951D6 3938 CMP DWORD PTR DS:[EAX],EDI 00A951D8 74 06 JE SHORT 00A951E0 00A951DA 41 INC ECX 00A951DB 83C0 0C ADD EAX,0C 00A951DE ^ EB F6 JMP SHORT 00A951D6 00A951E0 8BC1 MOV EAX,ECX 00A951E2 C1E0 02 SHL EAX,2 寻找入口点 继续下断点 bp GetCurrentThreadId 按F9运行中断后,看堆栈: 0012CB4C 73391E36 /CALL 到 GetCurrentThreadId 来自 73391E30 0012CB2C 7339353F /CALL 到 GetCurrentThreadId 来自 73393539 0012F018 00AA5FA4 返回到 00AA5FA4 来自 00AA64EC 程序终止 有大侠可以指点下吗? |
|
[求助]Armadillo脱壳请教
是的..dillodie1.6 脱不了.. FI查看是armadillo 3.01 我参考论坛上armadillo扫盲的文章 ALT+M 在401000处设内存访问断点..然后 F9 程序就运行..SHIFT+F9也不行..armadillo 壳好郁闷啊 那新手找什么壳练习比较好? 我跟着刹那恍惚的视频教程一步一步做的练习也不行.. 不知道怎么会事.. |
|
[求助]Armadillo脱壳请教
我是新学破解程序.. 这是我第一个脱壳的程序. 可是怎么也脱不掉.. 哪位大侠能不能脱下试试.. 脱完后给我个教程或者过程好吗? 程序下载地址:http://hefei.katsuworld.com/QuanNengWang2.2.rar 红警全能王2.2 谢谢了. |
|
|
|
[求助]Armadillo脱壳请教
FLY大侠..帮帮忙吧.. |
|
[求助]Armadillo脱壳请教
======== 21-09-2006 15:19:36 ======== C:\Documents and Settings\Administrator\桌面\QuanNengWang2.2\全能王2.2.exe ★ 目标为Armadillo保护 ★ 特征识别 = D038D028 保护系统级别为 (标准版) ◆所用到的保护模式有◆ 屏蔽调试器 双进程模式 【备份密钥设置】 无任何注册表操作 【程序压缩设置】 最好/最慢地压缩方式 【其它保护设置】 屏蔽多份文件拷贝 关闭监视进程 |
|
[求助]Armadillo脱壳请教
帮帮忙吧.. |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值