-
-
[旧帖] [求助]Armadillo 4.40脱壳后不能运行?有无高手解答一下 0.00雪花
-
发表于: 2012-1-17 12:32
-
文件在这里! 找到OEP dump后无法运行 不知道是什么原因,能给出为什么吗?
文件包含了
fly 的找OEP脚本 ,
程序未脱壳源程序,
脱壳后并用ImportREC修复后的程序
loadPE转存引擎使用arm的会造loadPE卡死
文件下载->http://dl.dbank.com/c0e3akrnif
分析:因为是单线程,任务管理器和loadPE都没显示双个进程
标准,无KEY
查版本使用Arma find protected V1.6
显示
======== 18-01-2012 13:45:41 ========
C:\Documents and Settings\Administrator\桌面\11\源程序.exe
★ 目标是Armadillo保护
保护系统级别为【专业版】
◆所用到的保护模式有◆
标准保护 或 最小保护模式
【密钥备份设置】
无任何注册表操作
【程序压缩方式设置】
较好/较慢的压缩方式
【其它保护设置】
★ Version 4.40 31October2005
使用主流的脱4.40版本脱壳机,也是不可以运行!
应该是不难破解的啊!!后来手动脱:
隐藏OD
下断点bp GetModuleHandleA+5
用bp GetModuleHandleA 不+5结果直接跑飞
用he GetModuleHandleA 不管+5或不加 都直接跑飞
返回时机修改Magic jump
为JE为JMP (防止加密IAT)
继续下断点 bp GetCurrentThreadId
找到mov ECX 跟进去,入口点
脚本脱是用的fly大侠的脚本 ,也正确的达到了OEP
但dump出来和修复 都出错!?
内存0x0000000 ........0x0000005内存不能为"read"
应该是IAT表修复错误,但不懂如何下手, 请问怎么修复IAT 用ImportREC试过了失败
求高手解答
文件包含了
fly 的找OEP脚本 ,
程序未脱壳源程序,
脱壳后并用ImportREC修复后的程序
loadPE转存引擎使用arm的会造loadPE卡死
文件下载->http://dl.dbank.com/c0e3akrnif
分析:因为是单线程,任务管理器和loadPE都没显示双个进程
标准,无KEY
查版本使用Arma find protected V1.6
显示
======== 18-01-2012 13:45:41 ========
C:\Documents and Settings\Administrator\桌面\11\源程序.exe
★ 目标是Armadillo保护
保护系统级别为【专业版】
◆所用到的保护模式有◆
标准保护 或 最小保护模式
【密钥备份设置】
无任何注册表操作
【程序压缩方式设置】
较好/较慢的压缩方式
【其它保护设置】
★ Version 4.40 31October2005
使用主流的脱4.40版本脱壳机,也是不可以运行!
应该是不难破解的啊!!后来手动脱:
隐藏OD
下断点bp GetModuleHandleA+5
用bp GetModuleHandleA 不+5结果直接跑飞
用he GetModuleHandleA 不管+5或不加 都直接跑飞
返回时机修改Magic jump
为JE为JMP (防止加密IAT)
继续下断点 bp GetCurrentThreadId
找到mov ECX 跟进去,入口点
脚本脱是用的fly大侠的脚本 ,也正确的达到了OEP
但dump出来和修复 都出错!?
内存0x0000000 ........0x0000005内存不能为"read"
应该是IAT表修复错误,但不懂如何下手, 请问怎么修复IAT 用ImportREC试过了失败
求高手解答
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
不是吧破解后能运行???
 ? 太离谱了吧求真像 另外,脱壳机1.9的试过了,还是脱不掉 |
|
|
|
|
|
|
|
|
|
