|
关于脱Armadillo 1.xx - 2.xx遇到的问题
Fly兄就是热心,小的就有看头了。 |
|
|
|
更新打击高级作弊分子线程,有兴趣的试试自己专用工具.
楼上的程序regclean运行了没反应呀。xp pro sp2 + c4 1.7g + 256m ddr266 |
|
fly收集的一些PEiD Sign
不错,没PEID版本限制吧,我还是用0.92的。试试。 |
|
|
|
|
|
|
|
[求助]我自己加的壳脱不下来?
在第二层壳的OEP处DUMP |
|
PESHiELD V0.25完美脱壳――PESHIELD.eXe主程序
呵呵,谢谢大哥,学习学习. |
|
[分享]*PESHiELD 0.25 -> ANAKiN* 简单手脱。
呵呵,不是,FLY大哥别生气。我说的是我自己,所以就没继续脱下去,难得老大你出手,能写几个关键的地方?让小的也学一下。 |
|
[分享]*PESHiELD 0.25 -> ANAKiN* 简单手脱。
呵呵,这个用Un工具几秒就OK了,可手脱还得慢慢学...... |
|
EPE 2004.8.10已被列为病毒了
最初由 mejy 发布 呵呵,这样才能显示它所谓的强大查毒杀毒功能。 |
|
Obsidium V1.25加壳VB程序的脱壳――超级自动注册申请王
04A6000 > E8 0E000000 call pk.004A6013>>>>>FlyODBG载入后,停在这 004A6005 8B5424 0C mov edx,dword ptr ss:[esp+C] 004A6009 8382 B8000000 0D add dword ptr ds:[edx+B8],0D 004A6010 33C0 xor eax,eax 004A6012 C3 retn 按FLY老大方法,设置OllyDbg忽略所有异常选项。 用IsDebug插件去掉OllyDbg的调试器标志。用UnhExcFlt.DLL插件先Patch一下。 再Ctrl+G:CheckRemoteDebuggerPresent 77E9582B > 55 push ebp>>>>>>>>来到这 77E9582C 8BEC mov ebp,esp 77E9582E 837D 08 00 cmp dword ptr ss:[ebp+8],0 77E95832 56 push esi 77E95833 74 35 je short kernel32.77E9586A 77E95835 8B75 0C mov esi,dword ptr ss:[ebp+C] 77E95838 85F6 test esi,esi 77E9583A 74 2E je short kernel32.77E9586A 77E9583C 6A 00 push 0 77E9583E 6A 04 push 4 77E95840 8D45 08 lea eax,dword ptr ss:[ebp+8] 77E95843 50 push eax 77E95844 6A 07 push 7 77E95846 FF75 08 push dword ptr ss:[ebp+8] 77E95849 FF15 AC10E477 call dword ptr ds:[<&ntdll.NtQueryInfo>; ntdll.ZwQueryInformationProcess 77E9584F 85C0 test eax,eax 77E95851 7D 08 jge short kernel32.77E9585B 77E95853 50 push eax 77E95854 E8 604BFCFF call kernel32.77E5A3B9 77E95859 EB 16 jmp short kernel32.77E95871 77E9585B 33C0 xor eax,eax 77E9585D 3945 08 cmp dword ptr ss:[ebp+8],eax 77E95860 0F95C0 setne al 77E95863 8906 mov dword ptr ds:[esi],eax 77E95865 33C0 xor eax,eax 77E95867 40 inc eax>>>>>>>>>修改为nop 77E95868 EB 09 jmp short kernel32.77E95873 77E9586A 6A 57 push 57 77E9586C E8 924AFCFF call kernel32.77E5A303 77E95871 33C0 xor eax,eax 77E95873 5E pop esi 77E95874 5D pop ebp 77E95875 C2 0800 retn 8 再Ctrl+G:IsProcessorFeaturePresent 77E6131B > 8B4424 04 mov eax,dword ptr ss:[esp+4]>>>>来到这,与FLY的不同? 77E6131F 83F8 40 cmp eax,40 77E61322 73 0A jnb short kernel32.77E6132E 77E61324 0FB680 7402FE7F movzx eax,byte ptr ds:[eax+7FFE0274] 77E6132B C2 0400 retn 4 在函数末尾下断,Shift+F9后可中断,再取消断点。 再Alt+M 显示内存窗口,在第2个区段00401000段“设置内存访问断点”,再Shift+F9后可以中断,来到: 003A4055 893E mov dword ptr ds:[esi],edi>>>>>>中断在这 003A4057 83C7 0C add edi,0C 003A405A 83C6 04 add esi,4 003A405D 41 inc ecx 003A405E 3B4D 0C cmp ecx,dword ptr ss:[ebp+C] 003A4061 ^ 72 C7 jb short 003A402A 003A4063 833E 00 cmp dword ptr ds:[esi],0 003A4066 75 30 jnz short 003A4098 再Ctrl+F在整个段块搜索命令:test word ptr ds:[esi],20 003A3EBE 56 push esi 003A3EBF 57 push edi 003A3EC0 8B75 10 mov esi,dword ptr ss:[ebp+10] 003A3EC3 8B7D 0C mov edi,dword ptr ss:[ebp+C] 003A3EC6 66:F706 2000 test word ptr ds:[esi],20>>>>找到这,修改 ①:test word ptr ds:[esi],8 ★ 003A3ECB 74 46 je short 003A3F13>>>>>>>>②改je为jne 003A3ECD 66:F706 0200 test word ptr ds:[esi],2 003A3ED2 75 1F jnz short 003A3EF3 003A3ED4 66:C706 0400 mov word ptr ds:[esi],4 003A3ED9 8B45 14 mov eax,dword ptr ss:[ebp+14] 003A3EDC 6A 01 push 1 003A3EDE 6A 00 push 0 003A3EE0 FF76 04 push dword ptr ds:[esi+4] 003A3EE3 6A 00 push 0 003A3EE5 FF75 18 push dword ptr ss:[ebp+18] 003A3EE8 FF50 50 call dword ptr ds:[eax+50] 003A3EEB 85C0 test eax,eax 003A3EED 74 38 je short 003A3F27>>>>>>>>③改为je short 003A3F13 003A3EEF 8907 mov dword ptr ds:[edi],eax 003A3EF1 EB 20 jmp short 003A3F13 003A3EF3 66:C706 0400 mov word ptr ds:[esi],4 003A3EF8 8B45 14 mov eax,dword ptr ss:[ebp+14] 003A3EFB 0FB756 02 movzx edx,word ptr ds:[esi+2] 003A3EFF 6A 01 push 1 003A3F01 52 push edx 003A3F02 6A 00 push 0 003A3F04 FF76 04 push dword ptr ds:[esi+4] 003A3F07 FF75 18 push dword ptr ss:[ebp+18] 003A3F0A FF50 50 call dword ptr ds:[eax+50] 003A3F0D 85C0 test eax,eax 003A3F0F 74 16 je short 003A3F27>>>>>>>>④改为je short 003A3F13 003A3F11 8907 mov dword ptr ds:[edi],eax 003A3F13 83C6 08 add esi,8 003A3F16 83C7 04 add edi,4 003A3F19 FF4D 08 dec dword ptr ss:[ebp+8] 003A3F1C ^ 75 A8 jnz short 003A3EC6 003A3F1E 33C0 xor eax,eax 003A3F20 40 inc eax 003A3F21 5F pop edi 003A3F22 5E pop esi 003A3F23 5D pop ebp 003A3F24 C2 1400 retn 14 在003A3F24处下断,Shift+F9后输入表处理完毕。 再shift+f9后就程序非法操作而中止了 |
|
Obsidium V1.25加壳VB程序的脱壳――超级自动注册申请王
一VC6程序,参照FLY老大的方法修改anit后,还是被检测到 |
|
有没有脱这样壳的例子??
在坛内搜armadillo,多的是. |
|
一个未知壳大家研究一下
PE-Armor v0.7x -> Hying * |
|
|
|
[分享]*PESHiELD 0.25 -> ANAKiN* 简单手脱。
最初由 skyege 发布 脱了一半,可以编辑资源,可输入表还未搞定.请高手看看. |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值