[原创]Armadillo 1.xx - 2.xx 之脱壳-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[原创]Armadillo 1.xx - 2.xx 之脱壳

发表于: 2005-5-6 17:10 16867

[原创]Armadillo 1.xx - 2.xx 之脱壳

yijun8354

2005-5-6 17:10

16867

　　　　　日期：2005年5月6日　　　破解人：yijun[PYG]
―――――――――――――――――――――――――――――――――――――――――――

【加壳名称】：Armadillo 1.xx - 2.xx
【破解声明】：初学Crack，只是感兴趣，没有其它目的。失误之处敬请诸位大侠赐教！
【破解工具】：OD，PEID，LordPE，ImportREC1.6

―――――――――――――――――――――――――――――――――――――――――――
　
【破解过程】：

peid查壳知道，该软件的壳为Armadillo 1.xx - 2.xx -> SiliconRealms Toolworks，在参考了许多大侠的破文后总算有所得^-^
OD载入来到这里：
00744740 >  55             push ebp
00744741 8BEC          mov ebp,esp
00744743 6A FF          push -1
00744745 68 A0FA7500    push chinast.0075FAA0
0074474A 68 18447400    push chinast.00744418
0074474F 64:A1 00000000  mov eax,dword ptr fs:[0]
00744755 50             push eax
00744756 64:8925 0000000>mov dword ptr fs:[0],esp
0074475D 83EC 58       sub esp,58
00744760 53             push ebx
00744761 56             push esi
00744762 57             push edi
00744763 8965 E8       mov dword ptr ss:[ebp-18],esp
00744766 FF15 78A17500 call dword ptr ds:[<&KERNEL32.GetVersion>; kernel32.GetVersion
0074476C 33D2          xor edx,edx
0074476E 8AD4          mov dl,ah
****************************************************************
命令行下断点 BP OpenMutexA,F9运行。
7C80EC1B >  8BFF          mov edi,edi  //中断在这里
7C80EC1D 55             push ebp
7C80EC1E 8BEC          mov ebp,esp
7C80EC20 51             push ecx
7C80EC21 51             push ecx
7C80EC22 837D 10 00    cmp dword ptr ss:[ebp+10],0
7C80EC26 56             push esi
7C80EC27 0F84 7A500300 je kernel32.7C843CA7
****************************************************************
堆栈内容：
0012D7A0 00730380  /CALL 到 OpenMutexA 来自 chinast.0073037A
0012D7A4 001F0001  |Access = 1F0001
0012D7A8 00000000  |Inheritable = FALSE
0012D7AC 0012DDE0  \MutexName = "BF4::DA2A9E4090"注意MutexName 这个地址每个机器不同，以看到的为主。

Ctrl+G 401000
00401000 0000          ADD BYTE PTR DS:[EAX],AL  //都是空地址。
00401002 0000          ADD BYTE PTR DS:[EAX],AL
00401004 0000          ADD BYTE PTR DS:[EAX],AL
00401006 0000          ADD BYTE PTR DS:[EAX],AL
00401008 0000          ADD BYTE PTR DS:[EAX],AL
0040100A 0000          ADD BYTE PTR DS:[EAX],AL
0040100C 0000          ADD BYTE PTR DS:[EAX],AL
0040100E 0000          ADD BYTE PTR DS:[EAX],AL
00401010 0000          ADD BYTE PTR DS:[EAX],AL
00401012 0000          ADD BYTE PTR DS:[EAX],AL

填入以下代码：
00401000 60             PUSHAD
00401001 9C             PUSHFD
00401002 68 DCFB1200    PUSH 12DDE0
00401007 33C0          XOR EAX,EAX
00401009 50             PUSH EAX
0040100A 50             PUSH EAX
0040100B E8 687BA677    CALL KERNEL32.CreateMutexA
00401010 9D             POPFD
00401011 61             POPAD
00401012  - E9 75C7A677    JMP KERNEL32.OpenMutexA
点右键选在此处新建 Eip ,看到Eip 变为 401000

F9运行
7C80EC1B >  8BFF          mov edi,edi  //断在这里，清除断点
7C80EC1D 55             push ebp
7C80EC1E 8BEC          mov ebp,esp
7C80EC20 51             push ecx
7C80EC21 51             push ecx
7C80EC22 837D 10 00    cmp dword ptr ss:[ebp+10],0
7C80EC26 56             push esi
7C80EC27 0F84 7A500300 je kernel32.7C843CA7
7C80EC2D 64:A1 18000000  mov eax,dword ptr fs:[18]
7C80EC33 FF75 10       push dword ptr ss:[ebp+10]
7C80EC36 8DB0 F80B0000 lea esi,dword ptr ds:[eax+BF8]
7C80EC3C 8D45 F8       lea eax,dword ptr ss:[ebp-8]
7C80EC3F 50             push eax
7C80EC40 FF15 8C10807C call dword ptr ds:[<&ntdll.RtlInitAnsiSt>; ntdll.RtlInitAnsiString
7C80EC46 6A 00          push 0
****************************************************************
Ctrl+G 401000来到：
00401000 60             pushad
00401001 9C             pushfd
00401002 68 E0DD1200    push 12DDE0                            ; ASCII "CE4::DA2A9E4090"
00401007 33C0          xor eax,eax
00401009 50             push eax
0040100A 50             push eax
0040100B E8 2FDB407C    call kernel32.CreateMutexA
00401010 9D             popfd
00401011 61             popad
00401012  - E9 04DC407C    jmp kernel32.OpenMutexA
撤消刚才的修改~~~~~~~~
下bp GetModuleHandleA，并该为硬件断点：
7C80B529 >  8BFF          mov edi,edi //在这里~~~~~
7C80B52B 55             push ebp
7C80B52C 8BEC          mov ebp,esp
7C80B52E 837D 08 00    cmp dword ptr ss:[ebp+8],0
7C80B532 74 18          je short kernel32.7C80B54C
7C80B534 FF75 08       push dword ptr ss:[ebp+8]
7C80B537 E8 682D0000    call kernel32.7C80E2A4
7C80B53C 85C0          test eax,eax
7C80B53E 74 08          je short kernel32.7C80B548
7C80B540 FF70 04       push dword ptr ds:[eax+4]
7C80B543 E8 F4300000    call kernel32.GetModuleHandleW
7C80B548 5D             pop ebp
7C80B549 C2 0400       retn 4

F9运行N次，若遇见非法指令错误就Shift+F9过~~~~~
在此期间仔细观察堆栈内容，直到看见：
00127908 00FA9AF7  /CALL 到 GetModuleHandleA 来自 00FA9AF1
0012790C 00127A4C  \pModule = "advapi32.dll"****这个东东****
再一次就看见：
00127B9C 00FC6AB9  /CALL 到 GetModuleHandleA 来自 00FC6AB3
00127BA0 00000000  \pModule = NULL

也就是到达magic jmp附近了~~~~~~~^-^

清除硬件断点，Ctrl+F9 返回~~~~~~~~
00FC6AB3 FF15 D400FD00 call dword ptr ds:[FD00D4]             ; kernel32.GetModuleHandleA
00FC6AB9 3985 90C4FFFF cmp dword ptr ss:[ebp-3B70],eax//返回到这里
00FC6ABF 75 0F          jnz short 00FC6AD0
00FC6AC1 C785 8CC4FFFF 8>mov dword ptr ss:[ebp-3B74],0FD5180
00FC6ACB E9 C4000000    jmp 00FC6B94
00FC6AD0 83A5 68C2FFFF 0>and dword ptr ss:[ebp-3D98],0
00FC6AD7 C785 64C2FFFF C>mov dword ptr ss:[ebp-3D9C],0FD57C0
00FC6AE1 EB 1C          jmp short 00FC6AFF
00FC6AE3 8B85 64C2FFFF mov eax,dword ptr ss:[ebp-3D9C]
00FC6AE9 83C0 0C       add eax,0C
00FC6AEC 8985 64C2FFFF mov dword ptr ss:[ebp-3D9C],eax
00FC6AF2 8B85 68C2FFFF mov eax,dword ptr ss:[ebp-3D98]
00FC6AF8 40             inc eax
00FC6AF9 8985 68C2FFFF mov dword ptr ss:[ebp-3D98],eax
00FC6AFF 8B85 64C2FFFF mov eax,dword ptr ss:[ebp-3D9C]
00FC6B05 8338 00       cmp dword ptr ds:[eax],0
00FC6B08 0F84 86000000 je 00FC6B94 很大一个magic jmp 跳转，注意，修改它为jmp 00FC6B94 程序将异常无法继续运行，但IAT已

经没有加密了。为了跟踪到oep,动态修改Z标志吧~~~~~~~
00FC6B0E 8B85 64C2FFFF mov eax,dword ptr ss:[ebp-3D9C]
00FC6B14 8B40 08       mov eax,dword ptr ds:[eax+8]
00FC6B17 83E0 01       and eax,1
00FC6B1A 85C0          test eax,eax
00FC6B1C 74 25          je short 00FC6B43
00FC6B1E A1 2800FE00    mov eax,dword ptr ds:[FE0028]
00FC6B23 8B0D 2800FE00 mov ecx,dword ptr ds:[FE0028]          ; chinast.0075A310
00FC6B29 8B40 20       mov eax,dword ptr ds:[eax+20]
00FC6B2C 3341 40       xor eax,dword ptr ds:[ecx+40]
00FC6B2F 8B0D 2800FE00 mov ecx,dword ptr ds:[FE0028]          ; chinast.0075A310
00FC6B35 3341 28       xor eax,dword ptr ds:[ecx+28]
00FC6B38 25 80000000    and eax,80
00FC6B3D 85C0          test eax,eax
00FC6B3F 74 02          je short 00FC6B43
00FC6B41  ^ EB A0          jmp short 00FC6AE3

****************************************************************
对 00A3139E 0F84 86000000 JE 00A3142A 下内存断点~~~~~~
F9N次后断在这里（要不断修改标志位哟^-^）：
00FA13AC 8B08          mov ecx,dword ptr ds:[eax]  //断在这里,清除内存断点。
00FA13AE 8365 08 00    and dword ptr ss:[ebp+8],0
00FA13B2 8D50 04       lea edx,dword ptr ds:[eax+4]
00FA13B5 894D E8       mov dword ptr ss:[ebp-18],ecx
00FA13B8 8955 0C       mov dword ptr ss:[ebp+C],edx
00FA13BB C745 10 2000000>mov dword ptr ss:[ebp+10],20
00FA13C2 8B12          mov edx,dword ptr ds:[edx]
00FA13C4 8955 E4       mov dword ptr ss:[ebp-1C],edx
00FA13C7 816D 08 4786C86>sub dword ptr ss:[ebp+8],61C88647
00FA13CE 8BF2          mov esi,edx
00FA13D0 8BFA          mov edi,edx
00FA13D2 C1EE 05       shr esi,5
00FA13D5 0375 FC       add esi,dword ptr ss:[ebp-4]
00FA13D8 C1E7 04       shl edi,4
00FA13DB 037D F0       add edi,dword ptr ss:[ebp-10]
00FA13DE 33F7          xor esi,edi
00FA13E0 8B7D 08       mov edi,dword ptr ss:[ebp+8]
00FA13E3 03FA          add edi,edx
00FA13E5 33F7          xor esi,edi
00FA13E7 03CE          add ecx,esi
00FA13E9 8BF1          mov esi,ecx
00FA13EB 8BF9          mov edi,ecx
00FA13ED C1EE 05       shr esi,5
****************************************************************
ALT+M
内存映射，项目 23
地址=00401000 //下内存访问断点
大小=00199000 (1675264.)
宿主=chinast  00400000
区段=.text
类型=Imag 01001002
访问=R
初始访问=RWE
F9断在这里：
00401768 /EB 10          jmp short chinast.0040177A
0040176A |66:623A       bound di,dword ptr ds:[edx]
0040176D |43             inc ebx
0040176E |2B2B          sub ebp,dword ptr ds:[ebx]
00401770 |48             dec eax
00401771 |4F             dec edi
00401772 |4F             dec edi
00401773 |4B             dec ebx
00401774 |90             nop
00401775  -|E9 98A05900    jmp chinast.0099B812
0040177A \A1 8BA05900    mov eax,dword ptr ds:[59A08B]
0040177F C1E0 02       shl eax,2
00401782 A3 8FA05900    mov dword ptr ds:[59A08F],eax
00401787 52             push edx
00401788 6A 00          push 0
0040178A E8 DD701900    call chinast.0059886C                   ; jmp to kernel32.GetModuleHandleA
0040178F 8BD0          mov edx,eax
00401791 E8 A66C1700    call chinast.0057843C
****************************************************************
IAT Imprec1.6修复即可~~~~

―――――――――――――――――――――――――――――――――――――――――――

登录后可查看完整内容

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

收藏・4

免费・7

支持

最新回复 (29) 1 2 ▶
fxyang 雪币： 2199 活跃值： (1975) 能力值： ( LV12，RANK：810 ) 在线值：发帖 27 回帖 267 粉丝 79 关注私信	fxyang 20 2 楼修改Magic jump后，在下一个解码前恢复代码就不会异常了 2005-5-6 17:31 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 3 楼鼓励一下 BTW：软件简介可以搞得简单点 2005-5-7 13:35 0
mylee 雪币： 312 活跃值： (860) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 148 粉丝 1 关注私信	mylee 4 楼 yijun[PYG]辛苦了，支持你的论文！！ 2005-5-7 15:08 0
systembug 雪币： 223 活跃值： (101) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 240 粉丝 1 关注私信	systembug 5 楼看看啊 2005-5-7 15:11 0
askformore 雪币： 383 活跃值： (786) 能力值： ( LV12，RANK：730 ) 在线值：发帖 73 回帖 349 粉丝 2 关注私信	askformore 18 6 楼 fly说得对极了 2005-5-7 15:45 0
pendan2001 雪币： 61 活跃值： (160) 能力值： ( LV9，RANK：170 ) 在线值：发帖 25 回帖 1180 粉丝 0 关注私信	pendan2001 4 7 楼鼓励一下 2005-5-7 19:02 0
云瑞雪币： 229 活跃值： (115) 能力值： ( LV6，RANK：90 ) 在线值：发帖 24 回帖 120 粉丝 0 关注私信	云瑞 2 8 楼 ^_^，谢谢兄弟哦！ 2005-5-7 22:48 0
kanxue 雪币： 47147 活跃值： (20445) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 541 关注私信	kanxue 8 9 楼由于软件作者来信抗议，故编辑了帖子，隐去了软件名。提倡大家以后尽可能用国外软件为研究对象。 2005-5-8 20:18 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 10 楼搞国产软件的，名字改拼音，这样软件作者一下反映不过来 2005-5-9 11:31 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 11 楼最初由 fxyang 发布修改Magic jump后，在下一个解码前恢复代码就不会异常了是这个原因引起的？早说，我去试试看 2005-5-9 11:31 0
与狼共舞雪币： 219 活跃值： (85) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 43 粉丝 0 关注私信	与狼共舞 12 楼呵呵，命理玄微2.3的脱文啊。不错叱，不错作者已更新到2.5了。希望大不要乱搞共享软件，毕竟大家都不容易。呵呵技术研究时，请务必隐于软件名。 2005-5-9 11:34 0
wandyac 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	wandyac 13 楼学习中…… 2005-5-9 17:16 0
acamus 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 38 粉丝 0 关注私信	acamus 14 楼想问一下,壳为Armadillo 1.xx - 2.xx -> SiliconRealms Toolworks,在运行开始要求输入key和用户名的, 也能用此脱吗? 如何迅速找到输入key和用户名的块? 2005-5-10 15:36 0
仙剑太郎雪币： 214 活跃值： (70) 能力值： ( LV6，RANK：90 ) 在线值：发帖 9 回帖 242 粉丝 0 关注私信	仙剑太郎 2 15 楼你这篇不知是你的笔误还是我理解有问题: 1: 00FC6B08 0F84 86000000 je 00FC6B94 很大一个magic jmp 跳转，注意，修改它为jmp 00a3142a 程序将异常无法继续运行，但IAT已经没有加密了。为了跟踪到oep,动态修改Z标志吧~~~~~~~ *magic jmp 是je 00FC6B94 你怎么把它改成jmp 00a3142a ?] 2: 对 00A3139E 0F84 86000000 JE 00A3142A 下内存断点~~~~~~ F9N次后断在这里（要不断修改标志位哟^-^）： *这个地址怎么来的? 2005-5-14 13:21 0
xsy3660 雪币： 221 活跃值： (137) 能力值： ( LV9，RANK：170 ) 在线值：发帖 33 回帖 256 粉丝 0 关注私信	xsy3660 4 16 楼最初由 fxyang 发布修改Magic jump后，在下一个解码前恢复代码就不会异常了 “下一个解码前”指什么，能讲清楚一点吗。我也在搞一个些壳的软件，搞了几天还是不行呀 2005-5-15 11:25 0
kkx2008 雪币： 107 活跃值： (54) 能力值： ( LV2，RANK：10 ) 在线值：发帖 44 回帖 377 粉丝 0 关注私信	kkx2008 17 楼最初由 fly 发布鼓励一下 BTW：软件简介可以搞得简单点真的好简单哦什么东东来着哪里下载也好得给个嘛或叫什么名字？ 2005-5-15 16:30 0
sundays 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	sundays 18 楼好东西要收藏 2005-5-16 10:35 0
yunfeng 雪币： 269 活跃值： (51) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 489 粉丝 0 关注私信	yunfeng 1 19 楼如何修复IAT表？ 2005-5-16 11:10 0
ngaut 雪币： 267 活跃值： (235) 能力值： ( LV9，RANK：250 ) 在线值：发帖 23 回帖 92 粉丝 1 关注私信	ngaut 6 20 楼不错！！！！！！！！！！！！ 2005-8-18 12:49 0
hyd009 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 143 粉丝 0 关注私信	hyd009 21 楼经典的脱壳方法 2005-8-18 23:32 0
dfui 雪币： 1263 活跃值： (607) 能力值： ( LV2，RANK：10 ) 在线值：发帖 32 回帖 218 粉丝 4 关注私信	dfui 22 楼清除硬件断点，Ctrl+F9 返回~~~~~~~~ 问个很菜的问题。看了几个贴子……………… 别人用的是ALT+F9返回。兄台用的CTRL+F9返回与众不同。这个命令害我的好累哟。 2005-9-11 20:45 0
寂寞如烟雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	寂寞如烟 23 楼 2: 对 00A3139E 0F84 86000000 JE 00A3142A 下内存断点~~~~~~ F9N次后断在这里（要不断修改标志位哟^-^）： ***这个地址怎么来的? 不是我故意翻老贴，是的确不懂这个问题。从精华七里看到这个文章，照着一步一步做下来，到这做不下去了。。。。 2006-12-5 15:53 0
pilyuxia 雪币： 213 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 23 粉丝 0 关注私信	pilyuxia 24 楼刚学脱壳不久，看了大侠的文章后，我也想尝试脱一个armadillo的壳，刚好手头有一个软件cloak8.0是armadillo 1.xx-2.xx的壳，可我怎么也找不到magic jump,请教大侠帮忙帮忙，谢谢了。能给一个详细的脱壳文档更好。 2007-4-16 21:50 0
kaixinde 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 6 粉丝 0 关注私信	kaixinde 25 楼我也脱一个Armadillo 1.xx - 2.xx 的壳，前几步都对，可ctrl+G 401000后，这一段有数据，不是你说的0000，这怎么办呢？ 2007-4-19 17:00 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

yijun8354

发帖

784

回帖

490

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (29) 1 2 ▶
fxyang 雪币： 2199 活跃值： (1975) 能力值： ( LV12，RANK：810 ) 在线值：发帖 27 回帖 267 粉丝 79 关注私信	fxyang 20 2 楼修改Magic jump后，在下一个解码前恢复代码就不会异常了 2005-5-6 17:31 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 3 楼鼓励一下 BTW：软件简介可以搞得简单点 2005-5-7 13:35 0
mylee 雪币： 312 活跃值： (860) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 148 粉丝 1 关注私信	mylee 4 楼 yijun[PYG]辛苦了，支持你的论文！！ 2005-5-7 15:08 0
systembug 雪币： 223 活跃值： (101) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 240 粉丝 1 关注私信	systembug 5 楼看看啊 2005-5-7 15:11 0
askformore 雪币： 383 活跃值： (786) 能力值： ( LV12，RANK：730 ) 在线值：发帖 73 回帖 349 粉丝 2 关注私信	askformore 18 6 楼 fly说得对极了 2005-5-7 15:45 0
pendan2001 雪币： 61 活跃值： (160) 能力值： ( LV9，RANK：170 ) 在线值：发帖 25 回帖 1180 粉丝 0 关注私信	pendan2001 4 7 楼鼓励一下 2005-5-7 19:02 0
云瑞雪币： 229 活跃值： (115) 能力值： ( LV6，RANK：90 ) 在线值：发帖 24 回帖 120 粉丝 0 关注私信	云瑞 2 8 楼 ^_^，谢谢兄弟哦！ 2005-5-7 22:48 0
kanxue 雪币： 47147 活跃值： (20445) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 541 关注私信	kanxue 8 9 楼由于软件作者来信抗议，故编辑了帖子，隐去了软件名。提倡大家以后尽可能用国外软件为研究对象。 2005-5-8 20:18 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 10 楼搞国产软件的，名字改拼音，这样软件作者一下反映不过来 2005-5-9 11:31 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 11 楼最初由 fxyang 发布修改Magic jump后，在下一个解码前恢复代码就不会异常了是这个原因引起的？早说，我去试试看 2005-5-9 11:31 0
与狼共舞雪币： 219 活跃值： (85) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 43 粉丝 0 关注私信	与狼共舞 12 楼呵呵，命理玄微2.3的脱文啊。不错叱，不错作者已更新到2.5了。希望大不要乱搞共享软件，毕竟大家都不容易。呵呵技术研究时，请务必隐于软件名。 2005-5-9 11:34 0
wandyac 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	wandyac 13 楼学习中…… 2005-5-9 17:16 0
acamus 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 38 粉丝 0 关注私信	acamus 14 楼想问一下,壳为Armadillo 1.xx - 2.xx -> SiliconRealms Toolworks,在运行开始要求输入key和用户名的, 也能用此脱吗? 如何迅速找到输入key和用户名的块? 2005-5-10 15:36 0
仙剑太郎雪币： 214 活跃值： (70) 能力值： ( LV6，RANK：90 ) 在线值：发帖 9 回帖 242 粉丝 0 关注私信	仙剑太郎 2 15 楼你这篇不知是你的笔误还是我理解有问题: 1: 00FC6B08 0F84 86000000 je 00FC6B94 很大一个magic jmp 跳转，注意，修改它为jmp 00a3142a 程序将异常无法继续运行，但IAT已经没有加密了。为了跟踪到oep,动态修改Z标志吧~~~~~~~ *magic jmp 是je 00FC6B94 你怎么把它改成jmp 00a3142a ?] 2: 对 00A3139E 0F84 86000000 JE 00A3142A 下内存断点~~~~~~ F9N次后断在这里（要不断修改标志位哟^-^）： *这个地址怎么来的? 2005-5-14 13:21 0
xsy3660 雪币： 221 活跃值： (137) 能力值： ( LV9，RANK：170 ) 在线值：发帖 33 回帖 256 粉丝 0 关注私信	xsy3660 4 16 楼最初由 fxyang 发布修改Magic jump后，在下一个解码前恢复代码就不会异常了 “下一个解码前”指什么，能讲清楚一点吗。我也在搞一个些壳的软件，搞了几天还是不行呀 2005-5-15 11:25 0
kkx2008 雪币： 107 活跃值： (54) 能力值： ( LV2，RANK：10 ) 在线值：发帖 44 回帖 377 粉丝 0 关注私信	kkx2008 17 楼最初由 fly 发布鼓励一下 BTW：软件简介可以搞得简单点真的好简单哦什么东东来着哪里下载也好得给个嘛或叫什么名字？ 2005-5-15 16:30 0
sundays 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	sundays 18 楼好东西要收藏 2005-5-16 10:35 0
yunfeng 雪币： 269 活跃值： (51) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 489 粉丝 0 关注私信	yunfeng 1 19 楼如何修复IAT表？ 2005-5-16 11:10 0
ngaut 雪币： 267 活跃值： (235) 能力值： ( LV9，RANK：250 ) 在线值：发帖 23 回帖 92 粉丝 1 关注私信	ngaut 6 20 楼不错！！！！！！！！！！！！ 2005-8-18 12:49 0
hyd009 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 143 粉丝 0 关注私信	hyd009 21 楼经典的脱壳方法 2005-8-18 23:32 0
dfui 雪币： 1263 活跃值： (607) 能力值： ( LV2，RANK：10 ) 在线值：发帖 32 回帖 218 粉丝 4 关注私信	dfui 22 楼清除硬件断点，Ctrl+F9 返回~~~~~~~~ 问个很菜的问题。看了几个贴子……………… 别人用的是ALT+F9返回。兄台用的CTRL+F9返回与众不同。这个命令害我的好累哟。 2005-9-11 20:45 0
寂寞如烟雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	寂寞如烟 23 楼 2: 对 00A3139E 0F84 86000000 JE 00A3142A 下内存断点~~~~~~ F9N次后断在这里（要不断修改标志位哟^-^）： ***这个地址怎么来的? 不是我故意翻老贴，是的确不懂这个问题。从精华七里看到这个文章，照着一步一步做下来，到这做不下去了。。。。 2006-12-5 15:53 0
pilyuxia 雪币： 213 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 23 粉丝 0 关注私信	pilyuxia 24 楼刚学脱壳不久，看了大侠的文章后，我也想尝试脱一个armadillo的壳，刚好手头有一个软件cloak8.0是armadillo 1.xx-2.xx的壳，可我怎么也找不到magic jump,请教大侠帮忙帮忙，谢谢了。能给一个详细的脱壳文档更好。 2007-4-16 21:50 0
kaixinde 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 6 粉丝 0 关注私信	kaixinde 25 楼我也脱一个Armadillo 1.xx - 2.xx 的壳，前几步都对，可ctrl+G 401000后，这一段有数据，不是你说的0000，这怎么办呢？ 2007-4-19 17:00 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复