safeguard1.01版主程序脱壳完全Script
只能用于主程序，因为有些关键点的定位使用的是程序的地址。

safeguard1.01版主程序脱壳完全Script
希望这个脚本对simonzh有所帮助，特别是对iat的处理，虽然加密函数很复杂，但是传递给这个函数参数时漏洞太大：

0041E195    E8 79DBFFFF     CALL safeguar.0041BD13

0012FF98   003A004D  |Arg1 = 003A004D
0012FF9C   77E5D8B4  |Arg2 = 77E5D8B4
0012FFA0   00000000  \Arg3 = 00000000

EAX 003A004D
ECX 77E5D8B4 kernel32.LoadLibraryA
EDX 7FFE0304
EBX 00413000 safeguar.00413000
ESP 0012FF98
EBP 00013000
ESI 00416633 safeguar.00416633
EDI 0072C794
EIP 0041E195 safeguar.0041E195

修改iat处理代码：

0041BD13    55              PUSH EBP
0041BD14    8BEC            MOV EBP,ESP
0041BD16    60              PUSHAD
0041BD17    8B7D 08         MOV EDI,DWORD PTR SS:[EBP+8]             ; 003A0000
0041BD1A    8B75 0C         MOV ESI,DWORD PTR SS:[EBP+C]             ; Stack SS:[0012FF9C]=77E5B285 (kernel32.GetProcAddress)

很容易修改成自动恢复的

Simonzh's Safeguard 1.0-3 主程序更新
safeguard1.01脱壳版测试，代码段好像还有无用的垃圾。

Game

附件:safeguar-up_.rar

Acprotect v1.41奇幻旅程(终结篇)
感谢loveboom 端午节快乐！

ACprotect v1.41奇幻旅程
赞！

NE365病毒杂志第一期修正！！

PESpin 1.3 Beta2 Unpackme脱壳
pf pf

Hying's Armor v0.7x Code Injection
学习！学习！

One unpack
注册验证部分可以参考jingulong修复sdk的方法，我感觉是脱壳后对某个标志验证，只是一直找不到，虽然跟踪了加壳的过程，无奈学艺不精
或许这个秘密只有jingulong能解开

One unpack
不错，但是重要的是脱壳后的效验问题，我是搞不定
希望兄弟成功

带证据来了 OD的BUG？？？
终止后不要动，Alt+K打开调用堆栈看看

问个脱壳小问题arm4.10 public版的
呵呵，不会这么少吧

[原创]Armadillo 1.xx - 2.xx 之脱壳
修改Magic jump后，在下一个解码前恢复代码就不会异常了

ImportREC修复问题大侠帮忙看看我哪出错了？
http://bbs.pediy.com/showthread.php?threadid=11329&highlight=PEX+0.99

Armadillo V4.X CopyMem-II脱壳――魔法转换(Magic Converter) V4.0正式版

最初由 mylee 发布
fly老大，这种方法我本人用Armadillo V3.8 CopyMem-II加壳的软件进行试脱壳时在其上cmp dword ptr ss:[ebp-A34],0处设置断点后Shift+F9中断不下来，程序反而运行，但不能看到OEP的值？取消运行程序OD终止。:eek: :eek:

CopyMem-II 方式中如果父进程不参与代码段解码就不能使用 bp WriteProcessMemory的方法来察看OEP值。