Armadillo V4.X CopyMem-II脱壳――魔法转换(Magic Converter) V4.0正式版-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

Armadillo V4.X CopyMem-II脱壳――魔法转换(Magic Converter) V4.0正式版

发表于: 2005-4-28 11:41 41225

Armadillo V4.X CopyMem-II脱壳――魔法转换(Magic Converter) V4.0正式版

fly

2005-4-28 11:41

41225

查看主题内容

收藏・5

免费・7

支持

最新回复 (84) ◀ 1 2 3 4 ▶
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 26 楼最初由 mylee 发布这种方法我本人用Armadillo V3.8 CopyMem-II加壳的软件进行试脱壳时在其上cmp dword ptr ss:[ebp-A34],0处设置断点后Shift+F9中断不下来，程序反而运行，但不能看到OEP的值？取消运行程序OD终止无法通过WriteProcessMemory查看OEP值？可能不是CopyMem-II吧 2005-4-30 08:48 0
fxyang 雪币： 2199 活跃值： (1975) 能力值： ( LV12，RANK：810 ) 在线值：发帖 27 回帖 267 粉丝 79 关注私信	fxyang 20 27 楼最初由 mylee 发布 fly老大，这种方法我本人用Armadillo V3.8 CopyMem-II加壳的软件进行试脱壳时在其上cmp dword ptr ss:[ebp-A34],0处设置断点后Shift+F9中断不下来，程序反而运行，但不能看到OEP的值？取消运行程序OD终止。:eek: :eek: CopyMem-II 方式中如果父进程不参与代码段解码就不能使用 bp WriteProcessMemory的方法来察看OEP值。 2005-4-30 09:26 0
ddssaa 雪币： 153 活跃值： (371) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 133 粉丝 1 关注私信	ddssaa 28 楼最初由 magicker 发布已经给你发邮件了，请立即去掉中国人　写软件还写个英文版的　假装洋鬼子啊　 2005-5-1 09:32 0
qiweixue 雪币： 258 活跃值： (230) 能力值： ( LV12，RANK：770 ) 在线值：发帖 47 回帖 1136 粉丝 3 关注私信	qiweixue 19 29 楼既不?钷,何必不忘;既然??,何需誓言.今日肺肺,似水?痕;明夕何夕,君已陌路. 2005-5-1 10:31 0
pendan2001 雪币： 61 活跃值： (160) 能力值： ( LV9，RANK：170 ) 在线值：发帖 25 回帖 1180 粉丝 0 关注私信	pendan2001 4 30 楼学习 2005-5-1 11:59 0
UPX 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 65 粉丝 0 关注私信	UPX 31 楼国产软件还是要保护的毕竟不少兄弟是在D版WinDows上用D版编程软件生产出正版软件，加了PJ版的壳来卖不容易呀 2005-5-4 10:53 0
fnilacr 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	fnilacr 32 楼 fly的脱壳技术已入化境。pfpf 2005-5-4 11:33 0
veryman 雪币： 198 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 292 粉丝 2 关注私信	veryman 33 楼最初由 fly 发布 OK，去掉了key 另外：我觉得没有必要加你QQ 千万不要加他qq，加了他qq之后，被他罚一贴图片或者任意传一个文件给你，你的IP就暴露无疑，不管你装了什么防火墙都没用！除非你使用不能显示图片的旧版qq！（这就是为什么现在很多发愣功分子都使用旧版QQ的原因，他们怕被对方通过发送图片或文件的方式追查到他们的IP～） 2005-5-5 22:23 0
veryman 雪币： 198 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 292 粉丝 2 关注私信	veryman 34 楼最初由 UPX 发布国产软件还是要保护的毕竟不少兄弟是在D版WinDows上用D版编程软件生产出正版软件，加了PJ版的壳来卖不容易呀求饶不是办法，关键是要“击倒”（战胜）对手！ 2005-5-5 22:28 0
lin 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	lin 35 楼看来不能用ARM了. 2005-5-6 00:05 0
1anyh 雪币： 219 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 64 粉丝 0 关注私信	1anyh 36 楼 Armadillo已论为弱壳. 2005-5-20 22:04 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 37 楼最初由 1anyh 发布 Armadillo已论为弱壳. Armadillo当然是世界级强壳 2005-5-20 22:53 0
mrzy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	mrzy 38 楼 fly,你再解个 Armadillo 3.78 加密的软件吧，示范一下！非常敬仰！ 2005-5-21 08:23 0
askformore 雪币： 383 活跃值： (786) 能力值： ( LV12，RANK：730 ) 在线值：发帖 73 回帖 349 粉丝 2 关注私信	askformore 18 39 楼真正的难点是 CC 的真假辨认，数量广义上不是个问题！ 2005-5-21 10:44 0
mylee 雪币： 312 活跃值： (860) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 148 粉丝 1 关注私信	mylee 40 楼最初由 mrzy 发布 fly,你再解个 Armadillo 3.78 加密的软件吧，示范一下！非常敬仰！ Armadillo 4.1的软件加密都有了，还要示范什么？？？ 2005-5-22 08:09 0
fireant 雪币： 193 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 47 粉丝 0 关注私信	fireant 41 楼支持 2005-6-23 22:41 0
pendan2001 雪币： 61 活跃值： (160) 能力值： ( LV9，RANK：170 ) 在线值：发帖 25 回帖 1180 粉丝 0 关注私信	pendan2001 4 42 楼 2005-6-26 14:00 0
xjmjack 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 4 粉丝 0 关注私信	xjmjack 43 楼 FLY 下面还有一处GetTickCount取时间 00E89100 8908 mov dword ptr ds:[eax],ecx //函数写入。在这里可以看见输入表函数开始地址005D7208，输入表处理结束后可以计算出大小=8B4 请问“大小=8B4”是怎么得到的？？[QUOTE] 2005-11-15 22:52 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 44 楼看输入表函数开始和结束地址然后－一下 2005-11-15 22:57 0
rongke 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 0 关注私信	rongke 45 楼对我来说 Armadillo 的壳难度大啊。。。。学习中 2005-11-16 23:51 0
星际雪币： 82 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 88 粉丝 0 关注私信	星际 46 楼这个是copymemII没选项的壳。还是比较简单的。加选项的才可怕。难脱。所以要买arm用户版的。 2005-11-17 11:18 0
ggosgg 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 88 粉丝 0 关注私信	ggosgg 47 楼没时间看,顶了再说.............. 2005-11-17 15:01 0
chasgone 雪币： 217 活跃值： (61) 能力值： ( LV6，RANK：90 ) 在线值：发帖 4 回帖 94 粉丝 1 关注私信	chasgone 2 48 楼 1、我有一个arm壳，好象有code splicing，我看过你的那一篇处理code splicing的帖子，但是你没说怎么找code splicing的开始地址 2、怎么判断arm是哪种加壳方式，用了哪些选项 2005-11-20 18:01 0
aaa2520 雪币： 156 活跃值： (48) 能力值： ( LV4，RANK：50 ) 在线值：发帖 107 回帖 401 粉丝 1 关注私信	aaa2520 1 49 楼最初由 fly 发布二、搞定输入表可以完美还原IAT，不过修改的代码麻烦，就不写了。再次载入主程序MAGCT.EXE 下断：BP DebugActiveProcess 中断后看堆栈： 0013BCBC 0060F71A /CALL 到 DebugActiveProcess 来自 MAGCT.0060F714 0013BCC0 00000DEC \ProcessId = DEC ........ 不还原IAT 能继续向下操作吗? 2005-11-22 09:49 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 50 楼 TO chasgone： 1、若有code splicing，则那个壳区段开始地址就是 2、自己用Armadillo不同选项加壳再脱壳观察 TO aaa2520：不是完美还原IAT，但是紧接着下面的就是修复输入表 2005-11-22 10:18 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

fly

294

发帖

7686

回帖

3410

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (84) ◀ 1 2 3 4 ▶
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 26 楼最初由 mylee 发布这种方法我本人用Armadillo V3.8 CopyMem-II加壳的软件进行试脱壳时在其上cmp dword ptr ss:[ebp-A34],0处设置断点后Shift+F9中断不下来，程序反而运行，但不能看到OEP的值？取消运行程序OD终止无法通过WriteProcessMemory查看OEP值？可能不是CopyMem-II吧 2005-4-30 08:48 0
fxyang 雪币： 2199 活跃值： (1975) 能力值： ( LV12，RANK：810 ) 在线值：发帖 27 回帖 267 粉丝 79 关注私信	fxyang 20 27 楼最初由 mylee 发布 fly老大，这种方法我本人用Armadillo V3.8 CopyMem-II加壳的软件进行试脱壳时在其上cmp dword ptr ss:[ebp-A34],0处设置断点后Shift+F9中断不下来，程序反而运行，但不能看到OEP的值？取消运行程序OD终止。:eek: :eek: CopyMem-II 方式中如果父进程不参与代码段解码就不能使用 bp WriteProcessMemory的方法来察看OEP值。 2005-4-30 09:26 0
ddssaa 雪币： 153 活跃值： (371) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 133 粉丝 1 关注私信	ddssaa 28 楼最初由 magicker 发布已经给你发邮件了，请立即去掉中国人　写软件还写个英文版的　假装洋鬼子啊　 2005-5-1 09:32 0
qiweixue 雪币： 258 活跃值： (230) 能力值： ( LV12，RANK：770 ) 在线值：发帖 47 回帖 1136 粉丝 3 关注私信	qiweixue 19 29 楼既不?钷,何必不忘;既然??,何需誓言.今日肺肺,似水?痕;明夕何夕,君已陌路. 2005-5-1 10:31 0
pendan2001 雪币： 61 活跃值： (160) 能力值： ( LV9，RANK：170 ) 在线值：发帖 25 回帖 1180 粉丝 0 关注私信	pendan2001 4 30 楼学习 2005-5-1 11:59 0
UPX 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 65 粉丝 0 关注私信	UPX 31 楼国产软件还是要保护的毕竟不少兄弟是在D版WinDows上用D版编程软件生产出正版软件，加了PJ版的壳来卖不容易呀 2005-5-4 10:53 0
fnilacr 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	fnilacr 32 楼 fly的脱壳技术已入化境。pfpf 2005-5-4 11:33 0
veryman 雪币： 198 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 292 粉丝 2 关注私信	veryman 33 楼最初由 fly 发布 OK，去掉了key 另外：我觉得没有必要加你QQ 千万不要加他qq，加了他qq之后，被他罚一贴图片或者任意传一个文件给你，你的IP就暴露无疑，不管你装了什么防火墙都没用！除非你使用不能显示图片的旧版qq！（这就是为什么现在很多发愣功分子都使用旧版QQ的原因，他们怕被对方通过发送图片或文件的方式追查到他们的IP～） 2005-5-5 22:23 0
veryman 雪币： 198 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 292 粉丝 2 关注私信	veryman 34 楼最初由 UPX 发布国产软件还是要保护的毕竟不少兄弟是在D版WinDows上用D版编程软件生产出正版软件，加了PJ版的壳来卖不容易呀求饶不是办法，关键是要“击倒”（战胜）对手！ 2005-5-5 22:28 0
lin 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	lin 35 楼看来不能用ARM了. 2005-5-6 00:05 0
1anyh 雪币： 219 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 64 粉丝 0 关注私信	1anyh 36 楼 Armadillo已论为弱壳. 2005-5-20 22:04 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 37 楼最初由 1anyh 发布 Armadillo已论为弱壳. Armadillo当然是世界级强壳 2005-5-20 22:53 0
mrzy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	mrzy 38 楼 fly,你再解个 Armadillo 3.78 加密的软件吧，示范一下！非常敬仰！ 2005-5-21 08:23 0
askformore 雪币： 383 活跃值： (786) 能力值： ( LV12，RANK：730 ) 在线值：发帖 73 回帖 349 粉丝 2 关注私信	askformore 18 39 楼真正的难点是 CC 的真假辨认，数量广义上不是个问题！ 2005-5-21 10:44 0
mylee 雪币： 312 活跃值： (860) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 148 粉丝 1 关注私信	mylee 40 楼最初由 mrzy 发布 fly,你再解个 Armadillo 3.78 加密的软件吧，示范一下！非常敬仰！ Armadillo 4.1的软件加密都有了，还要示范什么？？？ 2005-5-22 08:09 0
fireant 雪币： 193 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 47 粉丝 0 关注私信	fireant 41 楼支持 2005-6-23 22:41 0
pendan2001 雪币： 61 活跃值： (160) 能力值： ( LV9，RANK：170 ) 在线值：发帖 25 回帖 1180 粉丝 0 关注私信	pendan2001 4 42 楼 2005-6-26 14:00 0
xjmjack 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 4 粉丝 0 关注私信	xjmjack 43 楼 FLY 下面还有一处GetTickCount取时间 00E89100 8908 mov dword ptr ds:[eax],ecx //函数写入。在这里可以看见输入表函数开始地址005D7208，输入表处理结束后可以计算出大小=8B4 请问“大小=8B4”是怎么得到的？？[QUOTE] 2005-11-15 22:52 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 44 楼看输入表函数开始和结束地址然后－一下 2005-11-15 22:57 0
rongke 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 0 关注私信	rongke 45 楼对我来说 Armadillo 的壳难度大啊。。。。学习中 2005-11-16 23:51 0
星际雪币： 82 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 88 粉丝 0 关注私信	星际 46 楼这个是copymemII没选项的壳。还是比较简单的。加选项的才可怕。难脱。所以要买arm用户版的。 2005-11-17 11:18 0
ggosgg 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 88 粉丝 0 关注私信	ggosgg 47 楼没时间看,顶了再说.............. 2005-11-17 15:01 0
chasgone 雪币： 217 活跃值： (61) 能力值： ( LV6，RANK：90 ) 在线值：发帖 4 回帖 94 粉丝 1 关注私信	chasgone 2 48 楼 1、我有一个arm壳，好象有code splicing，我看过你的那一篇处理code splicing的帖子，但是你没说怎么找code splicing的开始地址 2、怎么判断arm是哪种加壳方式，用了哪些选项 2005-11-20 18:01 0
aaa2520 雪币： 156 活跃值： (48) 能力值： ( LV4，RANK：50 ) 在线值：发帖 107 回帖 401 粉丝 1 关注私信	aaa2520 1 49 楼最初由 fly 发布二、搞定输入表可以完美还原IAT，不过修改的代码麻烦，就不写了。再次载入主程序MAGCT.EXE 下断：BP DebugActiveProcess 中断后看堆栈： 0013BCBC 0060F71A /CALL 到 DebugActiveProcess 来自 MAGCT.0060F714 0013BCC0 00000DEC \ProcessId = DEC ........ 不还原IAT 能继续向下操作吗? 2005-11-22 09:49 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 50 楼 TO chasgone： 1、若有code splicing，则那个壳区段开始地址就是 2、自己用Armadillo不同选项加壳再脱壳观察 TO aaa2520：不是完美还原IAT，但是紧接着下面的就是修复输入表 2005-11-22 10:18 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复