|
[求助]ASProtect 2.2 SKE build 04.25脱壳后,用IDA看,里还是有怪代码
看样子,是先用VMPROTECT保护后,再用ASPR加的壳 |
|
[求助]ASProtect 2.2 SKE build 04.25脱壳后,用IDA看,里还是有怪代码
asprotect不是没有VM吗?怎么有VM啦 |
|
[求助]ASProtect 2.2 SKE build 04.25脱壳后,用IDA看,里还是有怪代码
0x806000后,是一个大数据区,里面放在很多变形的代码数据 |
|
[分享]Armadillo 脱壳系列动画教程 [06年04月04日 完整版]
动画看不了,执行一些鼠标花点,随便点一下工具条就报错! |
|
Armadillo V4.40主程序脱壳
上述问题应当已经解决。 异常我跳了过去 --------------- 但是此区段的Size为49000,这里多了1,将导致其下区段被加密,所以我们要修改这里为49000 ----------------- 这个SIZE我没做修改,不知道有没有关系? 现在已经处理到: dump出程,并对IAT进行了修复,我是新加了一个section,生成的文件IDA可以反编译,API可见,应当没问题。 明天再继续下面的CC,谢谢FLY的文档。 |
|
Armadillo V4.40主程序脱壳
fly正好在,别跑。。。:) 这个挂起的问题已经解决 可能是调试时有未结束的进程造成的。 现在又有个问题: Armadillo.fiXed.IT.osc已经成功执行完成 然后F8执行到CALL 解密 看堆栈: CODE: [Copy to clipboard] -------------------------------------------------------------------------------- 00129500 00401000 地址 00129504 00049001 大小 → 修改为:49000 ★ 其实就是解密PE header下面区段的代码 但是此区段的Size为49000,这里多了1,将导致其下区段被加密,所以我们要修改这里为49000 在数据窗口里定位00401000,F8步过上面CALL时会发现00401000段的代码已经全部解密出来了! --------------------------------- 我看到的第一个是00401000,但第二个不是49001,而是另外的值,比401000这个区段的大小差了1FF,如果不改执行下去会在: ------------------------------- 00F9D366 83C4 0C add esp,0C 00F9D369 8B85 FCD7FFFF mov eax,dword ptr ss:[ebp-2804] 00F9D36F 8BB5 0CD8FFFF mov esi,dword ptr ss:[ebp-27F4] 00F9D375 2B70 34 sub esi,dword ptr ds:[eax+34] 00F9D378 E8 542E0000 call 00FA01D1----这里会抛异常 -------------------------------- 注:调试设置里已经按要求设置了忽略异常。 我调试的程序经检测是: ★ 目标为Armadillo保护 Version 4.40.0250 (Custom Build) 保护系统级别为 (专业版) ◆所用到的保护模式有◆ 屏蔽调试器 双进程模式 使用输入表乱续模式 使用防内存补丁保护模式 【备份密钥设置】 固定的备份密钥 【程序压缩设置】 最好/最慢地压缩方式 【其它保护设置】 |
|
Armadillo V4.40主程序脱壳
请问一下: 还原EP Code的EBFE为60E8,Resume脚本 ★ RESUME时,会出现在这个线程是挂起状态,恢复也不行。。。 EP Code的代码已经还原(为55xxxxxx) |
|
Asprotect 2.XX SKE IAT Fixer v1.02.
顶一下,正需要这个。。。谢谢啦 |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值