问个脱壳小问题arm4.10 public版的-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

问个脱壳小问题arm4.10 public版的

发表于: 2005-5-7 15:54 5748

问个脱壳小问题arm4.10 public版的

askformore 活跃值

2005-5-7 15:54

5748

怎么脱了壳 PEid 报 Armadillo 1.xx - 2.xx -> Silicon Realms Toolworks
它上面是说公具吗，可以独立分出为编译器，真神奇

//入口是这个吧
00441C30 D>push ebp
00441C31 mov ebp,esp
00441C33 push -1
00441C35 push 4495D0
00441C3A push 4419CC                   ;  SE handler installation
00441C3F mov eax,dword ptr fs:[0]
00441C45 push eax
00441C46 mov dword ptr fs:[0],esp
00441C4D sub esp,58
00441C50 push ebx
00441C51 push esi
00441C52 push edi
00441C53 mov dword ptr ss:[ebp-18],esp
00441C56 call dword ptr ds:[4791C8]
00441C5C xor edx,edx
00441C5E mov dl,ah
00441C60 mov dword ptr ds:[477418],edx
00441C66 mov ecx,eax
00441C68 and ecx,0FF
00441C6E mov dword ptr ds:[477414],ecx
00441C74 shl ecx,8
00441C77 add ecx,edx
00441C79 mov dword ptr ds:[477410],ecx
00441C7F shr eax,10
00441C82 mov dword ptr ds:[47740C],eax
00441C87 xor esi,esi
00441C89 push esi
00441C8A call 004443CC                   ;  DUMPED.004443CC
00441C8F pop ecx
00441C90 test eax,eax
00441C92 jnz short 00441C9C             ;  DUMPED.00441C9C
00441C94 push 1C
00441C96 call 00441D4B                   ;  DUMPED.00441D4B
00441C9B pop ecx
00441C9C mov dword ptr ss:[ebp-4],esi
00441C9F call 004440AC                   ;  DUMPED.004440AC
00441CA4 call dword ptr ds:[4791CC]    ; [GetCommandLineA

有上千个以上的 int3，真够狠的，反正我又不会用，向它先

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法

收藏・0

免费・0

支持

最新回复 (15)
fxyang 雪币： 2199 活跃值： (1975) 能力值： ( LV12，RANK：810 ) 在线值：发帖 27 回帖 267 粉丝 73 关注私信	fxyang 20 2 楼呵呵，不会这么少吧 2005-5-7 17:41 0
loveboom 雪币： 513 活跃值： (2258) 能力值： ( LV9，RANK：2130 ) 在线值：发帖 100 回帖 687 粉丝 10 关注私信	loveboom 53 3 楼不要脱壳 2005-5-7 17:45 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 4 楼 PEiD某些时候就犯晕了 2005-5-7 18:32 0
loveboom 雪币： 513 活跃值： (2258) 能力值： ( LV9，RANK：2130 ) 在线值：发帖 100 回帖 687 粉丝 10 关注私信	loveboom 53 5 楼最初由 fly 发布 PEiD某些时候就犯晕了不关PEID的事，PEID也是无辜的，是因为脱壳后那些检测标志我们并没有去掉，所以才这样的 2005-5-7 20:17 0
askformore 雪币： 383 活跃值： (786) 能力值： ( LV12，RANK：730 ) 在线值：发帖 73 回帖 349 粉丝 2 关注私信	askformore 18 6 楼最初由 fxyang 发布呵呵，不会这么少吧什么意思？不要脱壳不要脱壳综合两位，我只脱了能运行和关闭就不干了！烦死... 主要原因是(它是公用版)：对我没有吸引力，我根本也从不用这个壳，完全修复是折人的事， Patch也出来了，只是动过这类壳的 3 个保镖程序，根本没基础。 2005-5-7 21:46 0
q3 watcher 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 902 粉丝 0 关注私信	q3 watcher 7 楼 Don't blame PEID.Look this,you will understand the reason.Armadillo 1.xx - 2.xx -> Silicon Realms Toolworks + thousands of CC.附件:Crackme.rar 2005-5-8 07:19 0
kimmal 雪币： 255 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 406 粉丝 0 关注私信	kimmal 1 8 楼 vcasm_protect_2004_11_30 2005-5-8 09:39 0
stephenteh 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 143 粉丝 0 关注私信	stephenteh 9 楼 change the linker info to another number instead of 83.82 change it to 6.0 then PEiD will identify it as C++ program.... 2005-5-8 11:42 0
q3 watcher 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 902 粉丝 0 关注私信	q3 watcher 10 楼最初由 kimmal 发布 vcasm_protect_2004_11_30 是12。03，再猜猜这个。附件:Crackme.rar 2005-5-8 19:43 0
q3 watcher 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 902 粉丝 0 关注私信	q3 watcher 11 楼老大不帮忙看看吗，还是发生了什么异常？只有部分反调试功能，IAT没有加密，太慢的机子可能会死人，现在我测试的最慢机子是赛扬466+64M+win2000，大概需要2秒，应该还是可以忍的。 2005-5-10 09:56 0
kimmal 雪币： 255 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 406 粉丝 0 关注私信	kimmal 1 12 楼没看出来，简单看了下Anti， Api断点检查， BlockImput 还有一大串除零异常 2005-5-10 10:25 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 13 楼 BlockInput 在Yoda's Protector V1.0X里面用过 2005-5-10 10:33 0
q3 watcher 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 902 粉丝 0 关注私信	q3 watcher 14 楼伪装PESpin主要是因为看上去不至于太离谱。像上面伪装穿山甲，随便看一眼就知道是假的。异常是以int3为主，因为感觉上就像星际里的虫海，比较有气势，跳过后就会变的卡死，后面还有别的东西，至于锁键是照顾键盘销售商的利益。 2005-5-10 10:40 0
loveboom 雪币： 513 活跃值： (2258) 能力值： ( LV9，RANK：2130 ) 在线值：发帖 100 回帖 687 粉丝 10 关注私信	loveboom 53 15 楼那个伪pespin的一看了知道的，盗用hying的magic esp 2005-5-11 21:27 0
q3 watcher 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 902 粉丝 0 关注私信	q3 watcher 16 楼这个是5.1出去玩，晚上穷极无聊，没有PS2玩，也没什么好电视，本上又没装什么游戏，就瞎改了个，没有强度,就是调试的时候有点卡.是严重盗版了经典代码,有点显眼,不过华丽有余，气势不足,等放暑假有了功夫自己改改，改成更有气势的.感觉伪装pespin,SVKP1.32或PC Guard V5还是可以的,不太过分，就只是哄哄新来的,老大们一看便知简直就是必然，没什么悬念。 2005-5-12 16:42 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

askformore

发帖

349

回帖

730

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (15)
fxyang 雪币： 2199 活跃值： (1975) 能力值： ( LV12，RANK：810 ) 在线值：发帖 27 回帖 267 粉丝 73 关注私信	fxyang 20 2 楼呵呵，不会这么少吧 2005-5-7 17:41 0
loveboom 雪币： 513 活跃值： (2258) 能力值： ( LV9，RANK：2130 ) 在线值：发帖 100 回帖 687 粉丝 10 关注私信	loveboom 53 3 楼不要脱壳 2005-5-7 17:45 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 4 楼 PEiD某些时候就犯晕了 2005-5-7 18:32 0
loveboom 雪币： 513 活跃值： (2258) 能力值： ( LV9，RANK：2130 ) 在线值：发帖 100 回帖 687 粉丝 10 关注私信	loveboom 53 5 楼最初由 fly 发布 PEiD某些时候就犯晕了不关PEID的事，PEID也是无辜的，是因为脱壳后那些检测标志我们并没有去掉，所以才这样的 2005-5-7 20:17 0
askformore 雪币： 383 活跃值： (786) 能力值： ( LV12，RANK：730 ) 在线值：发帖 73 回帖 349 粉丝 2 关注私信	askformore 18 6 楼最初由 fxyang 发布呵呵，不会这么少吧什么意思？不要脱壳不要脱壳综合两位，我只脱了能运行和关闭就不干了！烦死... 主要原因是(它是公用版)：对我没有吸引力，我根本也从不用这个壳，完全修复是折人的事， Patch也出来了，只是动过这类壳的 3 个保镖程序，根本没基础。 2005-5-7 21:46 0
q3 watcher 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 902 粉丝 0 关注私信	q3 watcher 7 楼 Don't blame PEID.Look this,you will understand the reason.Armadillo 1.xx - 2.xx -> Silicon Realms Toolworks + thousands of CC.附件:Crackme.rar 2005-5-8 07:19 0
kimmal 雪币： 255 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 406 粉丝 0 关注私信	kimmal 1 8 楼 vcasm_protect_2004_11_30 2005-5-8 09:39 0
stephenteh 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 143 粉丝 0 关注私信	stephenteh 9 楼 change the linker info to another number instead of 83.82 change it to 6.0 then PEiD will identify it as C++ program.... 2005-5-8 11:42 0
q3 watcher 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 902 粉丝 0 关注私信	q3 watcher 10 楼最初由 kimmal 发布 vcasm_protect_2004_11_30 是12。03，再猜猜这个。附件:Crackme.rar 2005-5-8 19:43 0
q3 watcher 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 902 粉丝 0 关注私信	q3 watcher 11 楼老大不帮忙看看吗，还是发生了什么异常？只有部分反调试功能，IAT没有加密，太慢的机子可能会死人，现在我测试的最慢机子是赛扬466+64M+win2000，大概需要2秒，应该还是可以忍的。 2005-5-10 09:56 0
kimmal 雪币： 255 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 406 粉丝 0 关注私信	kimmal 1 12 楼没看出来，简单看了下Anti， Api断点检查， BlockImput 还有一大串除零异常 2005-5-10 10:25 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 13 楼 BlockInput 在Yoda's Protector V1.0X里面用过 2005-5-10 10:33 0
q3 watcher 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 902 粉丝 0 关注私信	q3 watcher 14 楼伪装PESpin主要是因为看上去不至于太离谱。像上面伪装穿山甲，随便看一眼就知道是假的。异常是以int3为主，因为感觉上就像星际里的虫海，比较有气势，跳过后就会变的卡死，后面还有别的东西，至于锁键是照顾键盘销售商的利益。 2005-5-10 10:40 0
loveboom 雪币： 513 活跃值： (2258) 能力值： ( LV9，RANK：2130 ) 在线值：发帖 100 回帖 687 粉丝 10 关注私信	loveboom 53 15 楼那个伪pespin的一看了知道的，盗用hying的magic esp 2005-5-11 21:27 0
q3 watcher 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 902 粉丝 0 关注私信	q3 watcher 16 楼这个是5.1出去玩，晚上穷极无聊，没有PS2玩，也没什么好电视，本上又没装什么游戏，就瞎改了个，没有强度,就是调试的时候有点卡.是严重盗版了经典代码,有点显眼,不过华丽有余，气势不足,等放暑假有了功夫自己改改，改成更有气势的.感觉伪装pespin,SVKP1.32或PC Guard V5还是可以的,不太过分，就只是哄哄新来的,老大们一看便知简直就是必然，没什么悬念。 2005-5-12 16:42 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复