Armadillo 1.xx - 2.xx脱壳问题求助-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (9)
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 2 楼 CopyMem-II吧 2005-5-13 08:49 0
kimmal 雪币： 255 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 406 粉丝 0 关注私信	kimmal 1 3 楼 Fly再来一篇修复Move替换的~! 2005-5-13 09:30 0
xsy3660 雪币： 221 活跃值： (137) 能力值： ( LV9，RANK：170 ) 在线值：发帖 33 回帖 256 粉丝 0 关注私信	xsy3660 4 4 楼最初由 fly 发布 CopyMem-II吧是呀。能帮我看下吗 2005-5-13 09:46 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 5 楼看雪论坛精华6 Armadillo CopyMem-II 2005-5-13 09:58 0
xsy3660 雪币： 221 活跃值： (137) 能力值： ( LV9，RANK：170 ) 在线值：发帖 33 回帖 256 粉丝 0 关注私信	xsy3660 4 6 楼昨天在找magic imp时有误，F9未按到位，今天又来了一上年，重新看了各文章，还是不行。 0012BE84 00AA6A5E 返回到 00AA6A5E 来自 kernel32.GetModuleHandleA 0012BE88 0012BFC0 ASCII "kernel32.dll" 0012BE84 00AA6A5E 返回到 00AA6A5E 来自 kernel32.GetModuleHandleA 0012BE88 0012BFC0 ASCII "user32.dll" 0012BE84 00AA6A5E 返回到 00AA6A5E 来自 kernel32.GetModuleHandleA 0012BE88 0012BFC0 ASCII "MSVBVM60.DLL" 0012B77C 66001BB1 返回到 66001BB1 来自 kernel32.GetModuleHandleA 0012B780 66003DA8 ASCII "kernel32.dll" 0012B770 66002848 返回到 66002848 来自 kernel32.GetModuleHandleA 0012B774 66003DD4 ASCII "KERNEL32" 0012B768 660031FB 返回到 660031FB 来自 kernel32.GetModuleHandleA 0012B76C 00000000 0012BE84 00AA6A5E 返回到 00AA6A5E 来自 kernel32.GetModuleHandleA 0012BE88 0012BFC0 ASCII "advapi32.dll" 之后，按F9或shift+F9都无法通过，有“递归链太长？”的字样后，程序退出。？？？？？？用其它的方法，WaitForDebugEven找到OEP后，he WaitForDebugEvent，运行停住。回到壳空间，查找常数FFFFFFF8，没有看到“83BD D0F5FFFF 00 cmp dword ptr ss:[ebp-A30],0 //这就是tDasm大侠文中提到的关键代码”这关键码？？？？？ 0060735C E8 720E79F1 call F1D981D3 00607361 FF15 00790974 call dword ptr ds:[74097900] 00607367 F0:EB 87 lock jmp short XPStyle.006072F1 ; 不允许锁定前缀 0060736A DB7A F0 fstp tbyte ptr ds:[edx-10] 0060736D A0 336183BD mov al,byte ptr ds:[BD836133] 00607372 E8 F2FFFF00 call 01607369 00607377 0F8C 21010000 jl XPStyle.0060749E 0060737D 8B8D E8F2FFFF mov ecx,dword ptr ss:[ebp-D18] 00607383 3B0D DC1A6300 cmp ecx,dword ptr ds:[631ADC] 00607389 0F8D 0F010000 jge XPStyle.0060749E 0060738F 6A 00 push 0 00607391 8BB5 E8F2FFFF mov esi,dword ptr ss:[ebp-D18] 00607397 C1E6 04 shl esi,4 0060739A 8B95 E8F2FFFF mov edx,dword ptr ss:[ebp-D18] 006073A0 81E2 07000080 and edx,80000007 006073A6 79 05 jns short XPStyle.006073AD 006073A8 4A dec edx 006073A9 83CA F8 or edx,FFFFFFF8 //搜到的常数 006073AC 42 inc edx 2005-5-13 12:37 0
tom123 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	tom123 7 楼我脱个老外的音频转换软件时，用fly老大的方法，改magic imp为JMP了，再在401000下内存短点，断下，就OK了，DUMP+修复就OK了 2005-5-13 19:39 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 8 楼搜索命令：or eax,0FFFFFFF8 2005-5-13 19:54 0
xsy3660 雪币： 221 活跃值： (137) 能力值： ( LV9，RANK：170 ) 在线值：发帖 33 回帖 256 粉丝 0 关注私信	xsy3660 4 9 楼那再看看 2005-5-13 20:07 0
xsy3660 雪币： 221 活跃值： (137) 能力值： ( LV9，RANK：170 ) 在线值：发帖 33 回帖 256 粉丝 0 关注私信	xsy3660 4 10 楼最初由 tom123 发布我脱个老外的音频转换软件时，用fly老大的方法，改magic imp为JMP了，再在401000下内存短点，断下，就OK了，DUMP+修复就OK了是双进程的吗 2005-5-13 20:09 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (9)
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 2 楼 CopyMem-II吧 2005-5-13 08:49 0
kimmal 雪币： 255 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 406 粉丝 0 关注私信	kimmal 1 3 楼 Fly再来一篇修复Move替换的~! 2005-5-13 09:30 0
xsy3660 雪币： 221 活跃值： (137) 能力值： ( LV9，RANK：170 ) 在线值：发帖 33 回帖 256 粉丝 0 关注私信	xsy3660 4 4 楼最初由 fly 发布 CopyMem-II吧是呀。能帮我看下吗 2005-5-13 09:46 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 5 楼看雪论坛精华6 Armadillo CopyMem-II 2005-5-13 09:58 0
xsy3660 雪币： 221 活跃值： (137) 能力值： ( LV9，RANK：170 ) 在线值：发帖 33 回帖 256 粉丝 0 关注私信	xsy3660 4 6 楼昨天在找magic imp时有误，F9未按到位，今天又来了一上年，重新看了各文章，还是不行。 0012BE84 00AA6A5E 返回到 00AA6A5E 来自 kernel32.GetModuleHandleA 0012BE88 0012BFC0 ASCII "kernel32.dll" 0012BE84 00AA6A5E 返回到 00AA6A5E 来自 kernel32.GetModuleHandleA 0012BE88 0012BFC0 ASCII "user32.dll" 0012BE84 00AA6A5E 返回到 00AA6A5E 来自 kernel32.GetModuleHandleA 0012BE88 0012BFC0 ASCII "MSVBVM60.DLL" 0012B77C 66001BB1 返回到 66001BB1 来自 kernel32.GetModuleHandleA 0012B780 66003DA8 ASCII "kernel32.dll" 0012B770 66002848 返回到 66002848 来自 kernel32.GetModuleHandleA 0012B774 66003DD4 ASCII "KERNEL32" 0012B768 660031FB 返回到 660031FB 来自 kernel32.GetModuleHandleA 0012B76C 00000000 0012BE84 00AA6A5E 返回到 00AA6A5E 来自 kernel32.GetModuleHandleA 0012BE88 0012BFC0 ASCII "advapi32.dll" 之后，按F9或shift+F9都无法通过，有“递归链太长？”的字样后，程序退出。？？？？？？用其它的方法，WaitForDebugEven找到OEP后，he WaitForDebugEvent，运行停住。回到壳空间，查找常数FFFFFFF8，没有看到“83BD D0F5FFFF 00 cmp dword ptr ss:[ebp-A30],0 //这就是tDasm大侠文中提到的关键代码”这关键码？？？？？ 0060735C E8 720E79F1 call F1D981D3 00607361 FF15 00790974 call dword ptr ds:[74097900] 00607367 F0:EB 87 lock jmp short XPStyle.006072F1 ; 不允许锁定前缀 0060736A DB7A F0 fstp tbyte ptr ds:[edx-10] 0060736D A0 336183BD mov al,byte ptr ds:[BD836133] 00607372 E8 F2FFFF00 call 01607369 00607377 0F8C 21010000 jl XPStyle.0060749E 0060737D 8B8D E8F2FFFF mov ecx,dword ptr ss:[ebp-D18] 00607383 3B0D DC1A6300 cmp ecx,dword ptr ds:[631ADC] 00607389 0F8D 0F010000 jge XPStyle.0060749E 0060738F 6A 00 push 0 00607391 8BB5 E8F2FFFF mov esi,dword ptr ss:[ebp-D18] 00607397 C1E6 04 shl esi,4 0060739A 8B95 E8F2FFFF mov edx,dword ptr ss:[ebp-D18] 006073A0 81E2 07000080 and edx,80000007 006073A6 79 05 jns short XPStyle.006073AD 006073A8 4A dec edx 006073A9 83CA F8 or edx,FFFFFFF8 //搜到的常数 006073AC 42 inc edx 2005-5-13 12:37 0
tom123 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	tom123 7 楼我脱个老外的音频转换软件时，用fly老大的方法，改magic imp为JMP了，再在401000下内存短点，断下，就OK了，DUMP+修复就OK了 2005-5-13 19:39 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 8 楼搜索命令：or eax,0FFFFFFF8 2005-5-13 19:54 0
xsy3660 雪币： 221 活跃值： (137) 能力值： ( LV9，RANK：170 ) 在线值：发帖 33 回帖 256 粉丝 0 关注私信	xsy3660 4 9 楼那再看看 2005-5-13 20:07 0
xsy3660 雪币： 221 活跃值： (137) 能力值： ( LV9，RANK：170 ) 在线值：发帖 33 回帖 256 粉丝 0 关注私信	xsy3660 4 10 楼最初由 tom123 发布我脱个老外的音频转换软件时，用fly老大的方法，改magic imp为JMP了，再在401000下内存短点，断下，就OK了，DUMP+修复就OK了是双进程的吗 2005-5-13 20:09 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复