首页
社区
课程
招聘
Armadillo V4.X CopyMem-II脱壳――魔法转换(Magic Converter) V4.0正式版
发表于: 2005-4-28 11:41 41252

Armadillo V4.X CopyMem-II脱壳――魔法转换(Magic Converter) V4.0正式版

fly 活跃值
85
2005-4-28 11:41
41252
收藏
免费 7
支持
分享
最新回复 (84)
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
26
最初由 mylee 发布这种方法我本人用Armadillo V3.8 CopyMem-II加壳的软件进行试脱壳时在其上cmp dword ptr ss:[ebp-A34],0处设置断点后Shift+F9中断不下来,程序反而运行,但不能看到OEP的值?取消运行程序OD终止


无法通过WriteProcessMemory查看OEP值?
可能不是CopyMem-II吧
2005-4-30 08:48
0
雪    币: 2199
活跃值: (1975)
能力值: ( LV12,RANK:810 )
在线值:
发帖
回帖
粉丝
27
最初由 mylee 发布
flyArmadillo V3.8 CopyMem-IIcmp dword ptr ss:[ebp-A34],0Shift+F9OEPOD:eek: :eek:


CopyMem-II 方式中如果父进程不参与代码段解码就不能使用 bp WriteProcessMemory的方法来察看OEP值。
2005-4-30 09:26
0
雪    币: 153
活跃值: (401)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
28
最初由 magicker 发布
已经给你发邮件了,请立即去掉

中国人 写软件还写个英文版的 假装洋鬼子啊 
2005-5-1 09:32
0
雪    币: 258
活跃值: (230)
能力值: ( LV12,RANK:770 )
在线值:
发帖
回帖
粉丝
29

既不?钷,何必不忘;既然??,何需誓言.今日肺肺,似水?痕;明夕何夕,君已陌路.
2005-5-1 10:31
0
雪    币: 61
活跃值: (160)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
30
学习
2005-5-1 11:59
0
雪    币: 203
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
UPX
31
国产软件还是要保护的
毕竟不少兄弟是在D版WinDows上用D版编程软件生产出正版软件,加了PJ版的壳来卖
不容易呀
2005-5-4 10:53
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
32
fly的脱壳技术已入化境。pfpf
2005-5-4 11:33
0
雪    币: 198
活跃值: (16)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
33
最初由 fly 发布
OK,去掉了key

另外:我觉得没有必要加你QQ

千万不要加他qq,加了他qq之后,被他罚一贴图片或者任意传一个文件给你,你的IP就暴露无疑,不管你装了什么防火墙都没用!除非你使用不能显示图片的旧版qq!(这就是为什么现在很多发愣功分子都使用旧版QQ的原因,他们怕被对方通过发送图片或文件的方式追查到他们的IP~)
2005-5-5 22:23
0
雪    币: 198
活跃值: (16)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
34
最初由 UPX 发布
国产软件还是要保护的
毕竟不少兄弟是在D版WinDows上用D版编程软件生产出正版软件,加了PJ版的壳来卖
不容易呀

求饶不是办法,关键是要“击倒”(战胜)对手!
2005-5-5 22:28
0
雪    币: 202
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
lin
35
看来不能用ARM了.
2005-5-6 00:05
0
雪    币: 219
活跃值: (12)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
36
Armadillo已论为弱壳.
2005-5-20 22:04
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
37
最初由 1anyh 发布
Armadillo已论为弱壳.


Armadillo当然是世界级强壳
2005-5-20 22:53
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
38
fly,你再解个 Armadillo 3.78 加密的软件吧,示范一下!非常敬仰!
2005-5-21 08:23
0
雪    币: 383
活跃值: (786)
能力值: ( LV12,RANK:730 )
在线值:
发帖
回帖
粉丝
39
真正的难点是 CC 的真假辨认, 数量广义上不是个问题!
2005-5-21 10:44
0
雪    币: 233
活跃值: (915)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
40
最初由 mrzy 发布
fly,你再解个 Armadillo 3.78 加密的软件吧,示范一下!非常敬仰!

Armadillo 4.1的软件加密都有了,还要示范什么???
2005-5-22 08:09
0
雪    币: 193
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
41
支持
2005-6-23 22:41
0
雪    币: 61
活跃值: (160)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
42
2005-6-26 14:00
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
43
FLY
下面还有一处GetTickCount取时间

00E89100    8908            mov dword ptr ds:[eax],ecx
//函数写入。在这里可以看见输入表函数开始地址005D7208,输入表处理结束后可以计算出大小=8B4

请问“大小=8B4”是怎么得到的??[QUOTE]
2005-11-15 22:52
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
44
看输入表函数开始和结束地址
然后 - 一下
2005-11-15 22:57
0
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
45
对我来说  Armadillo 的壳 难度大啊。。。。学习中
2005-11-16 23:51
0
雪    币: 82
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
46
这个是copymemII没选项的壳。还是比较简单的。加选项的才可怕。难脱。所以要买arm用户版的。
2005-11-17 11:18
0
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
47
没时间看,顶了再说..............
2005-11-17 15:01
0
雪    币: 217
活跃值: (61)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
48
1、我有一个arm壳,好象有code splicing,我看过你的那一篇处理code splicing的帖子,但是你没说怎么找code splicing的开始地址
2、怎么判断arm是哪种加壳方式,用了哪些选项
2005-11-20 18:01
0
雪    币: 156
活跃值: (48)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
49
最初由 fly 发布
二、搞定输入表


可以完美还原IAT,不过修改的代码麻烦,就不写了。
再次载入主程序MAGCT.EXE
下断:BP DebugActiveProcess 中断后看堆栈:
0013BCBC 0060F71A /CALL 到 DebugActiveProcess 来自 MAGCT.0060F714
0013BCC0 00000DEC \ProcessId = DEC

........


不还原IAT 能继续向下操作吗?
2005-11-22 09:49
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
50
TO chasgone:
1、若有code splicing,则那个壳区段开始地址就是
2、自己用Armadillo不同选项加壳再脱壳观察

TO aaa2520:
不是完美还原IAT,但是紧接着下面的就是修复输入表
2005-11-22 10:18
0
游客
登录 | 注册 方可回帖
返回
//