首页
社区
课程
招聘
[原创]Armadillo 1.xx - 2.xx 之脱壳
发表于: 2005-5-6 17:10 16865

[原创]Armadillo 1.xx - 2.xx 之脱壳

2005-5-6 17:10
16865
收藏
免费 7
支持
分享
最新回复 (29)
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
26
下bp GetModuleHandleA,并该为硬件断点:
7C80B529 > 8BFF mov edi,edi //在这里~~~~~
7C80B52B 55 push ebp
7C80B52C 8BEC mov ebp,esp
7C80B52E 837D 08 00 cmp dword ptr ss:[ebp+8],0
7C80B532 74 18 je short kernel32.7C80B54C
7C80B534 FF75 08 push dword ptr ss:[ebp+8]
7C80B537 E8 682D0000 call kernel32.7C80E2A4
7C80B53C 85C0 test eax,eax
7C80B53E 74 08 je short kernel32.7C80B548
7C80B540 FF70 04 push dword ptr ds:[eax+4]
7C80B543 E8 F4300000 call kernel32.GetModuleHandleW
7C80B548 5D pop ebp
7C80B549 C2 0400 retn 4

F9运行N次,若遇见非法指令错误就Shift+F9过~~~~~
在此期间仔细观察堆栈内容,直到看见:
00127908 00FA9AF7 /CALL 到 GetModuleHandleA 来自 00FA9AF1
0012790C 00127A4C \pModule = "advapi32.dll"****这个东东****
再一次就看见:
00127B9C 00FC6AB9 /CALL 到 GetModuleHandleA 来自 00FC6AB3
00127BA0 00000000 \pModule = NULL


到这里就不行了 下bp GetModuleHandleA这个不可以
2007-4-19 23:15
0
雪    币: 347
活跃值: (25)
能力值: ( LV9,RANK:420 )
在线值:
发帖
回帖
粉丝
27
双进程?看LZ的脱壳方法好像不和平常的方法不大一样,难道是保护方式不同的原因?主要还是我

太菜 不明白为什么LZ说要不断修改标志位,希望个可以给我等菜鸟解释下,还有,用普

通的方法,就是下了那两个断,然后修改了MAGIC JUMP后,直接在00401000下断,到了OEP,然后用

LORD PE脱壳,修复输入表后,算不算脱壳成功呢?
2007-4-22 00:48
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
28
对我来说,就是天书,
2007-4-24 18:41
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
29
不行啊..按教程从第一步开始..OD就出现了错误..然后就强行关闭..
要脱的软件是带KEY的单进程..问下LZ.这个教程实用吗?
2007-6-12 01:30
0
雪    币: 0
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
30
***********************************************
填入以下代码:
00401000    60              PUSHAD
00401001    9C              PUSHFD
00401002    68 DCFB1200     PUSH 12DDE0
00401007    33C0            XOR EAX,EAX
00401009    50              PUSH EAX
0040100A    50              PUSH EAX
0040100B    E8 687BA677     CALL KERNEL32.CreateMutexA
00401010    9D              POPFD
00401011    61              POPAD
00401012  - E9 75C7A677     JMP KERNEL32.OpenMutexA
点右键 选在此处新建 Eip ,看到Eip 变为 401000
*********************************************

我用你得方法运行上面这步时,会提示“不在代码范围内,可能会导致调试错误”

继续往下
*****************************************
F9运行N次,若遇见非法指令错误就Shift+F9过~~~~~
在此期间仔细观察堆栈内容,直到看见:
00127908   00FA9AF7  /CALL 到 GetModuleHandleA 来自 00FA9AF1
0012790C   00127A4C  \pModule = "advapi32.dll"****这个东东****
再一次就看见:
00127B9C   00FC6AB9  /CALL 到 GetModuleHandleA 来自 00FC6AB3
00127BA0   00000000  \pModule = NULL
********************************************
还没看到上面就弹出“Error while unpacking program,code 2”,然后就退出了

那这问题出在哪里呢
2007-8-1 18:31
0
游客
登录 | 注册 方可回帖
返回
//