-
-
[旧帖]
[求助]脱Armadillo疑问
0.00雪花
-
发表于:
2010-3-8 19:52
1338
-
[旧帖] [求助]脱Armadillo疑问
0.00雪花
在脱Armadillo的时候,到以一定的步骤之后会跳到00401000处编写一些代码,如下:
========================================
Ctrl+G 00401000 键入以下欺骗代码!
00401000 60 pushad
00401001 9C pushfd
00401002 68 B4FB1200 push 0012FBB4 ★ 堆栈里看到的值
00401007 33C0 xor eax,eax
00401009 50 push eax
0040100A 50 push eax
0040100B E8 B4B2A577 call kernel32.CreateMutexA
00401010 9D popfd
00401011 61 popad
00401012 E9 33F7A577 jmp kernel32.OpenMutexA
二进制代码
60 9C 68 B4 FB 12 00 33 C0 50 50 E8 2F DB 40 7C 9D 61 E9 04 DC 40 7C
在401000处新建起源,F9运行,再次中断在OpenMutexA处,取消断点,再次来到401000,撤消刚才的修改
========================================
我想问的就是:
60 9C 68 B4 FB 12 00 33 C0 50 50 E8 2F DB 40 7C 9D 61 E9 04 DC 40 7C
这些二进制代码是怎么来的?
[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法