首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 加壳脱壳
    3. 发新帖
[求助]Armadillo 3.78 - 4.xx脱壳并不如大家所说
发表于: 2010-10-7 17:02 6280

[求助]Armadillo 3.78 - 4.xx脱壳并不如大家所说

lightwend 活跃值
2010-10-7 17:02
6280
看了很多脱Armadillo 3.78 - 4.xx -> Silicon Realms Toolworks [Overlay]壳的文章,大致都是到了magic jump,改 je 为 jmp,但我这个壳到了这个 je 处并不是大跳转,如下:

shift+F9三次,Alt+F9
0180E9D1    8B55 F4         MOV EDX,DWORD PTR SS:[EBP-C]   //Alt+F9返回处
0180E9D4    8B0D D4678E01   MOV ECX,DWORD PTR DS:[18E67D4]
0180E9DA    890491          MOV DWORD PTR DS:[ECX+EDX*4],EAX
0180E9DD    8B55 F4         MOV EDX,DWORD PTR SS:[EBP-C]
0180E9E0    A1 D4678E01     MOV EAX,DWORD PTR DS:[18E67D4]
0180E9E5    833C90 00       CMP DWORD PTR DS:[EAX+EDX*4],0
0180E9E9    75 5C           JNZ SHORT 0180EA47
0180E9EB    8B4D F8         MOV ECX,DWORD PTR SS:[EBP-8]
0180E9EE    8B51 08         MOV EDX,DWORD PTR DS:[ECX+8]
0180E9F1    83E2 02         AND EDX,2
0180E9F4    74 38           JE SHORT 0180EA2E
0180E9F6    B8 1E000000     MOV EAX,1E
0180E9FB    C1E0 02         SHL EAX,2
......

0180EA34    51              PUSH ECX
0180EA35    FF15 98108C01   CALL DWORD PTR DS:[18C1098]              ; kernel32.LoadLibraryA
0180EA3B    8B55 F4         MOV EDX,DWORD PTR SS:[EBP-C]
0180EA3E    8B0D D4678E01   MOV ECX,DWORD PTR DS:[18E67D4]
0180EA44    890491          MOV DWORD PTR DS:[ECX+EDX*4],EAX
0180EA47    8B55 F4         MOV EDX,DWORD PTR SS:[EBP-C]
0180EA4A    A1 D4678E01     MOV EAX,DWORD PTR DS:[18E67D4]
0180EA4F    833C90 00       CMP DWORD PTR DS:[EAX+EDX*4],0
0180EA53    75 05           JNZ SHORT 0180EA5A
0180EA55  ^ E9 EFFEFFFF     JMP 0180E949
0180EA5A    C785 BCFEFFFF 0>MOV DWORD PTR SS:[EBP-144],0
0180EA64    C785 C0FEFFFF 0>MOV DWORD PTR SS:[EBP-140],0
0180EA6E    8B4D F8         MOV ECX,DWORD PTR SS:[EBP-8]
0180EA71    8B51 04         MOV EDX,DWORD PTR DS:[ECX+4]
0180EA74    8995 C4FEFFFF   MOV DWORD PTR SS:[EBP-13C],EDX
0180EA7A    EB 0F           JMP SHORT 0180EA8B
0180EA7C    8B85 C4FEFFFF   MOV EAX,DWORD PTR SS:[EBP-13C]
0180EA82    83C0 0C         ADD EAX,0C
0180EA85    8985 C4FEFFFF   MOV DWORD PTR SS:[EBP-13C],EAX
0180EA8B    8B8D C4FEFFFF   MOV ECX,DWORD PTR SS:[EBP-13C]
0180EA91    8339 00         CMP DWORD PTR DS:[ECX],0
0180EA94    74 11           JE SHORT 0180EAA7    //通常所谓的magic jump但这里只跳到( 0180EAA7    33C9            XOR ECX,ECX)处,往下五行
0180EA96    8B95 C0FEFFFF   MOV EDX,DWORD PTR SS:[EBP-140]
0180EA9C    83C2 01         ADD EDX,1
0180EA9F    8995 C0FEFFFF   MOV DWORD PTR SS:[EBP-140],EDX
0180EAA5  ^ EB D5           JMP SHORT 0180EA7C
0180EAA7    33C9            XOR ECX,ECX
0180EAA9    8B85 C0FEFFFF   MOV EAX,DWORD PTR SS:[EBP-140]
0180EAAF    BA 04000000     MOV EDX,4

请高手指点是怎么回事?

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (8)
熊猫正正
雪    币: 2323
活跃值: (4113)
能力值: ( LV12,RANK:530 )
在线值:
发帖
回帖
粉丝
私信
2
那人那个程序发上来,我帮你看看!!没程序,就这样,可能是你中间操作有误!
2010-10-7 17:23
0
lightwend
雪    币: 153
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
程序名称是setup-factory-personal-edition,文件太大,不好上传,给你个链接,麻烦你下下来,安装后看看,谢谢。

http://nx.onlinedown.net/down/setup-factory-personal-edition.zip

前面那个链接下了装不上,换了一个
2010-10-7 17:43
0
综合
雪    币: 178
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
学习下,谢谢
2010-10-8 10:09
0
lightwend
雪    币: 153
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
怎么没人回答?????????????
2010-10-10 11:55
0
小菜鸟一
雪    币: 1095
活跃值: (4177)
能力值: ( LV5,RANK:69 )
在线值:
发帖
回帖
粉丝
私信
6
Nop掉了就可以了
2010-10-10 12:06
0
ddsoft
雪    币: 544
活跃值: (55)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
7
0180EA53    75 05           JNZ SHORT 0180EA5A
这句是Majic jump,NOP掉试试看。我也是菜鸟
2010-10-13 22:02
0
feeger
雪    币: 213
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
nop掉会通过验证码?
2010-10-15 16:01
0
lightwend
雪    币: 153
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
9
本来就不跳转,nop 其实没关系,并且是脱壳,nop掉也不行
2010-10-15 22:03
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//