-
-
[旧帖] [求助]OD手脱带 key 的 arm 程序遇到的奇怪问题!?? 0.00雪花
-
发表于: 2010-9-12 13:17
-
【使用工具】 ollydbg
【脱壳平台】 winxp sp2
【软件名称】 test.exe
【软件大小】 812 kb
【保护选项】 profession protection + key 保护 (双进程)
【加壳方式】 armadillo v4.40 ?
可用的 key
hardware fingerprint: D63D-862F
name: tang
key: 00001Q-88C615-HVCFAK-X9FC67-A23VZ3-MQYNFP-9ZF3Z3-9QYC4K-Z5FEUT-PJQ9K3-E3AFUW
1.
用OD打开test.exe
设置ollydbg忽略所有异常,然后 HideOD
然后用 脚本把 双进程编程 单进程
脚本:
////////////////////////////////////////////////////////////////////////////////////////////////////
//转单进程脚本
msg "请忽略所有异常,并添加忽略C000001E异常,然后运行本脚本!"
gpa "OpenMutexA","kernel32.dll"
bp $RESULT
esto
exec
pushad
pushfd
push edx
xor eax,eax
push eax
push eax
call kernel32.CreateMutexA
popfd
popad
jmp kernel32.OpenMutexA
ende
bc eip
msg "现已转换成单进程!"
ret
////////////////////////////////////////////////////////////////////////////////////////////////////
然后来到下图
2.
下断:he GetDlgItem,点‘OK’。
来到上图所在的位置
删除刚才的断点,Alt+F9,
然后在下述位置设断
F9 来到 00A549BB F7进入
单步到 00A385EF F7进入
这里就出现了问题??????????
当在 00A45CD3的时候 eax 就变成了 我的 hardware fingerprint
B755 – 7F5A
然后单步 来到 00A45CE2 xor eax, 65E6C08A
理论上来说 这里 在没有 异或 eax 时 eax应该为我的 hardware fingerprint
B7557F5A
但实际上
然后
就用 xor eax, 65E6C08A //改成 JMP 00401000,“跟随”。
这种方法就不能成功了。
在 00401000 处 写成
xor eax, 65E6C08A
cmp eax, B7557F5A
//判断 EAX 是否是我的机器码,B7557F5A 是我的机器码。根据自己的硬盘号,改成自己的机器码
jnz 00401011 //不是就返回
mov eax, D63D862F //如果是我的机器码就将 D63D862F (别人的机器码,也是有正确的KEY的机器码)替换成自己的。
retn 8
这里 cmp eax, B7557F5A
Eax 永远不会变成 我的机器码B7557F5A
这跟网上的教程不一样, 是不是 变种的 ARM???????
求高手解答一下?
程序在附件中。。。。
【脱壳平台】 winxp sp2
【软件名称】 test.exe
【软件大小】 812 kb
【保护选项】 profession protection + key 保护 (双进程)
【加壳方式】 armadillo v4.40 ?
可用的 key
hardware fingerprint: D63D-862F
name: tang
key: 00001Q-88C615-HVCFAK-X9FC67-A23VZ3-MQYNFP-9ZF3Z3-9QYC4K-Z5FEUT-PJQ9K3-E3AFUW
1.
用OD打开test.exe
设置ollydbg忽略所有异常,然后 HideOD
然后用 脚本把 双进程编程 单进程
脚本:
////////////////////////////////////////////////////////////////////////////////////////////////////
//转单进程脚本
msg "请忽略所有异常,并添加忽略C000001E异常,然后运行本脚本!"
gpa "OpenMutexA","kernel32.dll"
bp $RESULT
esto
exec
pushad
pushfd
push edx
xor eax,eax
push eax
push eax
call kernel32.CreateMutexA
popfd
popad
jmp kernel32.OpenMutexA
ende
bc eip
msg "现已转换成单进程!"
ret
////////////////////////////////////////////////////////////////////////////////////////////////////
然后来到下图
2.
下断:he GetDlgItem,点‘OK’。
来到上图所在的位置
删除刚才的断点,Alt+F9,
然后在下述位置设断
F9 来到 00A549BB F7进入
单步到 00A385EF F7进入
这里就出现了问题??????????
当在 00A45CD3的时候 eax 就变成了 我的 hardware fingerprint
B755 – 7F5A
然后单步 来到 00A45CE2 xor eax, 65E6C08A
理论上来说 这里 在没有 异或 eax 时 eax应该为我的 hardware fingerprint
B7557F5A
但实际上
然后
就用 xor eax, 65E6C08A //改成 JMP 00401000,“跟随”。
这种方法就不能成功了。
在 00401000 处 写成
xor eax, 65E6C08A
cmp eax, B7557F5A
//判断 EAX 是否是我的机器码,B7557F5A 是我的机器码。根据自己的硬盘号,改成自己的机器码
jnz 00401011 //不是就返回
mov eax, D63D862F //如果是我的机器码就将 D63D862F (别人的机器码,也是有正确的KEY的机器码)替换成自己的。
retn 8
这里 cmp eax, B7557F5A
Eax 永远不会变成 我的机器码B7557F5A
这跟网上的教程不一样, 是不是 变种的 ARM???????
求高手解答一下?
程序在附件中。。。。
带 key的 ARM能用 脱壳机??? 注册上了才能脱壳,没有注册的是用不了的!!!
