首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 加壳脱壳
    3. 发新帖
帮忙看看这个armadillo的Magic Jump
发表于: 2005-6-18 15:07 5010

帮忙看看这个armadillo的Magic Jump

okdodo 活跃值
2
2005-6-18 15:07
5010
在跟踪一个armadillo加壳的程序时发现它的Magic Jump的位置与通常情况下
不大一样(如下,不知道找的位置正确不? ) 恳请大虾指点下面
的代码是否有Magic Jump以及如何修改能避开IAT加密。先谢了。

00D2210B    FF15 08B1D200         call dword ptr ds:[D2B108]                              ; kernel32.VirtualProtect
00D22111    6A 01                 push 1
00D22113    58                    pop eax
00D22114    85C0                  test eax,eax
00D22116    0F84 7D010000         je 00D22299
00D2211C    83A5 6CFCFFFF 00      and dword ptr ss:[ebp-394],0
00D22123    8B85 9CFEFFFF         mov eax,dword ptr ss:[ebp-164]
00D22129    0FBE00                movsx eax,byte ptr ds:[eax]
00D2212C    85C0                  test eax,eax
00D2212E    75 12                 jnz short 00D22142
00D22130    8B85 9CFEFFFF         mov eax,dword ptr ss:[ebp-164]
00D22136    40                    inc eax
00D22137    8985 9CFEFFFF         mov dword ptr ss:[ebp-164],eax
00D2213D    E9 57010000           jmp 00D22299
00D22142    8B85 9CFEFFFF         mov eax,dword ptr ss:[ebp-164]
00D22148    0FB600                movzx eax,byte ptr ds:[eax]
00D2214B    3D FF000000           cmp eax,0FF
00D22150    0F85 A7000000         jnz 00D221FD
00D22156    8B85 9CFEFFFF         mov eax,dword ptr ss:[ebp-164]
00D2215C    40                    inc eax
00D2215D    8985 9CFEFFFF         mov dword ptr ss:[ebp-164],eax
00D22163    8B85 9CFEFFFF         mov eax,dword ptr ss:[ebp-164]
00D22169    66:8B00               mov ax,word ptr ds:[eax]
00D2216C    66:8985 68FCFFFF      mov word ptr ss:[ebp-398],ax
00D22173    8B85 9CFEFFFF         mov eax,dword ptr ss:[ebp-164]
00D22179    40                    inc eax
00D2217A    40                    inc eax
00D2217B    8985 9CFEFFFF         mov dword ptr ss:[ebp-164],eax
00D22181    0FB785 68FCFFFF       movzx eax,word ptr ss:[ebp-398]
00D22188    50                    push eax
00D22189    FFB5 88FCFFFF         push dword ptr ss:[ebp-378]
00D2218F    E8 D229FFFF           call 00D14B66
00D22194    8985 6CFCFFFF         mov dword ptr ss:[ebp-394],eax
00D2219A    83BD 6CFCFFFF 00      cmp dword ptr ss:[ebp-394],0
00D221A1    75 58                 jnz short 00D221FB
00D221A3    FF15 C4B0D200         call dword ptr ds:[D2B0C4]                              ; ntdll.RtlGetLastWin32Error
00D221A9    83F8 32               cmp eax,32
00D221AC    75 0A                 jnz short 00D221B8
00D221AE    C785 6CFCFFFF 5B4BD10>mov dword ptr ss:[ebp-394],0D14B5B
00D221B8    83BD 6CFCFFFF 00      cmp dword ptr ss:[ebp-394],0
00D221BF    75 3A                 jnz short 00D221FB
00D221C1    8B45 08               mov eax,dword ptr ss:[ebp+8]
00D221C4    8B00                  mov eax,dword ptr ds:[eax]
00D221C6    C700 03000000         mov dword ptr ds:[eax],3
00D221CC    FF15 C4B0D200         call dword ptr ds:[D2B0C4]                              ; ntdll.RtlGetLastWin32Error
00D221D2    50                    push eax
00D221D3    0FB785 68FCFFFF       movzx eax,word ptr ss:[ebp-398]
00D221DA    50                    push eax
00D221DB    FFB5 70FCFFFF         push dword ptr ss:[ebp-390]
00D221E1    68 A4E5D200           push 0D2E5A4                                            ; ASCII "File "%s", ordinal %d (error %d)"
00D221E6    8B45 08               mov eax,dword ptr ss:[ebp+8]
00D221E9    FF70 04               push dword ptr ds:[eax+4]
00D221EC    E8 CB2C0000           call 00D24EBC
00D221F1    83C4 14               add esp,14
00D221F4    33C0                  xor eax,eax
00D221F6    E9 57050000           jmp 00D22752
00D221FB    EB 7A                 jmp short 00D22277
00D221FD    8B85 9CFEFFFF         mov eax,dword ptr ss:[ebp-164]
00D22203    8985 64FCFFFF         mov dword ptr ss:[ebp-39C],eax
00D22209    6A 00                 push 0
00D2220B    FFB5 9CFEFFFF         push dword ptr ss:[ebp-164]
00D22211    E8 EA2B0000           call 00D24E00
00D22216    59                    pop ecx
00D22217    59                    pop ecx
00D22218    40                    inc eax
00D22219    8985 9CFEFFFF         mov dword ptr ss:[ebp-164],eax
00D2221F    FFB5 64FCFFFF         push dword ptr ss:[ebp-39C]
00D22225    FFB5 88FCFFFF         push dword ptr ss:[ebp-378]
00D2222B    E8 3629FFFF           call 00D14B66
00D22230    8985 6CFCFFFF         mov dword ptr ss:[ebp-394],eax
00D22236    83BD 6CFCFFFF 00      cmp dword ptr ss:[ebp-394],0
00D2223D    75 38                 jnz short 00D22277
00D2223F    8B45 08               mov eax,dword ptr ss:[ebp+8]
00D22242    8B00                  mov eax,dword ptr ds:[eax]
00D22244    C700 03000000         mov dword ptr ds:[eax],3
00D2224A    FF15 C4B0D200         call dword ptr ds:[D2B0C4]                              ; ntdll.RtlGetLastWin32Error
00D22250    50                    push eax
00D22251    FFB5 64FCFFFF         push dword ptr ss:[ebp-39C]
00D22257    FFB5 70FCFFFF         push dword ptr ss:[ebp-390]
00D2225D    68 80E5D200           push 0D2E580                                            ; ASCII "File "%s", function "%s" (error %d)"
00D22262    8B45 08               mov eax,dword ptr ss:[ebp+8]
00D22265    FF70 04               push dword ptr ds:[eax+4]
00D22268    E8 4F2C0000           call 00D24EBC
00D2226D    83C4 14               add esp,14
00D22270    33C0                  xor eax,eax
00D22272    E9 DB040000           jmp 00D22752
00D22277    8B85 74FCFFFF         mov eax,dword ptr ss:[ebp-38C]
00D2227D    8B8D 6CFCFFFF         mov ecx,dword ptr ss:[ebp-394]
00D22283    8908                  mov dword ptr ds:[eax],ecx
00D22285    8B85 74FCFFFF         mov eax,dword ptr ss:[ebp-38C]
00D2228B    83C0 04               add eax,4
00D2228E    8985 74FCFFFF         mov dword ptr ss:[ebp-38C],eax
00D22294  ^ E9 78FEFFFF           jmp 00D22111
00D22299    0FB685 80FCFFFF       movzx eax,byte ptr ss:[ebp-380]
00D222A0    85C0                  test eax,eax
00D222A2    74 7F                 je short 00D22323
00D222A4    6A 00                 push 0
00D222A6    8B85 84FCFFFF         mov eax,dword ptr ss:[ebp-37C]
00D222AC    C1E0 02               shl eax,2
00D222AF    50                    push eax
00D222B0    8B85 64FDFFFF         mov eax,dword ptr ss:[ebp-29C]
00D222B6    0385 7CFCFFFF         add eax,dword ptr ss:[ebp-384]
00D222BC    50                    push eax
00D222BD    E8 5D0C0000           call 00D22F1F
00D222C2    83C4 0C               add esp,0C
00D222C5    8B85 84FCFFFF         mov eax,dword ptr ss:[ebp-37C]
00D222CB    C1E0 02               shl eax,2
00D222CE    50                    push eax
00D222CF    FFB5 8CFCFFFF         push dword ptr ss:[ebp-374]
00D222D5    8B85 64FDFFFF         mov eax,dword ptr ss:[ebp-29C]
00D222DB    0385 7CFCFFFF         add eax,dword ptr ss:[ebp-384]
00D222E1    50                    push eax
00D222E2    E8 39220000           call 00D24520
00D222E7    83C4 0C               add esp,0C
00D222EA    6A 01                 push 1
00D222EC    8B85 84FCFFFF         mov eax,dword ptr ss:[ebp-37C]
00D222F2    C1E0 02               shl eax,2
00D222F5    50                    push eax
00D222F6    8B85 64FDFFFF         mov eax,dword ptr ss:[ebp-29C]
00D222FC    0385 7CFCFFFF         add eax,dword ptr ss:[ebp-384]
00D22302    50                    push eax
00D22303    E8 170C0000           call 00D22F1F
00D22308    83C4 0C               add esp,0C
00D2230B    8B85 8CFCFFFF         mov eax,dword ptr ss:[ebp-374]
00D22311    8985 90EBFFFF         mov dword ptr ss:[ebp-1470],eax
00D22317    FFB5 90EBFFFF         push dword ptr ss:[ebp-1470]
00D2231D    E8 F0210000           call 00D24512
00D22322    59                    pop ecx
00D22323    8D85 78FCFFFF         lea eax,dword ptr ss:[ebp-388]
00D22329    50                    push eax
00D2232A    FFB5 78FCFFFF         push dword ptr ss:[ebp-388]
00D22330    8B85 84FCFFFF         mov eax,dword ptr ss:[ebp-37C]
00D22336    C1E0 02               shl eax,2
00D22339    50                    push eax
00D2233A    8B85 64FDFFFF         mov eax,dword ptr ss:[ebp-29C]
00D22340    0385 7CFCFFFF         add eax,dword ptr ss:[ebp-384]
00D22346    50                    push eax
00D22347    FF15 08B1D200         call dword ptr ds:[D2B108]                              ; kernel32.VirtualProtect

[课程]FART 脱壳王!加量不加价!FART作者讲授!

收藏
免费 0
支持
分享
最新回复 (7)
wynney
雪    币: 224
活跃值: (147)
能力值: ( LV9,RANK:970 )
在线值:
发帖
回帖
粉丝
私信
2
你把BP GetMoudelHandleA之后的返回代码弄上来吧~~你这个代码看得很头皮发麻。。是看不出来的~~
2005-6-18 15:59
0
mylee
雪    币: 312
活跃值: (755)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
Magic Jump ctrl+f9
2005-6-18 16:09
0
okdodo
雪    币: 233
活跃值: (10)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
私信
4
谢谢两位的解答:) 我再试试。

是一个国外的软件swftext(v1.1) PEID显示是armadillo壳
按照论坛中的很多文章中的方法 一直找不到Magic Jump在哪
而且在我的机器上用BP WaitForDebugEvent无法中断:(
2005-6-18 16:17
0
okdodo
雪    币: 233
活跃值: (10)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
私信
5
最初由 wynney 发布
你把BP GetMoudelHandleA之后的返回代码弄上来吧~~你这个代码看得很头皮发麻。。是看不出来的~~


不知道找的对不对

00D21FD2    FF15 A4B0D200         call dword ptr ds:[D2B0A4]                              ; kernel32.GetModuleHandleA
00D21FD8    8985 88FCFFFF         mov dword ptr ss:[ebp-378],eax
00D21FDE    83BD 88FCFFFF 00      cmp dword ptr ss:[ebp-378],0
00D21FE5    75 1D                 jnz short 00D22004
00D21FE7    FFB5 70FCFFFF         push dword ptr ss:[ebp-390]
00D21FED    E8 F82FFFFF           call 00D14FEA
00D21FF2    8985 88FCFFFF         mov dword ptr ss:[ebp-378],eax
00D21FF8    FFB5 88FCFFFF         push dword ptr ss:[ebp-378]
00D21FFE    E8 6126FFFF           call 00D14664
00D22003    59                    pop ecx
00D22004    83BD 88FCFFFF 00      cmp dword ptr ss:[ebp-378],0
00D2200B    75 32                 jnz short 00D2203F
00D2200D    8B45 08               mov eax,dword ptr ss:[ebp+8]
00D22010    8B00                  mov eax,dword ptr ds:[eax]
00D22012    C700 03000000         mov dword ptr ds:[eax],3
00D22018    FF15 C4B0D200         call dword ptr ds:[D2B0C4]                              ; ntdll.RtlGetLastWin32Error
00D2201E    50                    push eax
00D2201F    FFB5 70FCFFFF         push dword ptr ss:[ebp-390]
00D22025    68 C8E5D200           push 0D2E5C8                                            ; ASCII "File "%s", error %d"
00D2202A    8B45 08               mov eax,dword ptr ss:[ebp+8]
00D2202D    FF70 04               push dword ptr ds:[eax+4]
00D22030    E8 872E0000           call 00D24EBC
00D22035    83C4 10               add esp,10
00D22038    33C0                  xor eax,eax
00D2203A    E9 13070000           jmp 00D22752
00D2203F    6A 01                 push 1
00D22041    FFB5 88FCFFFF         push dword ptr ss:[ebp-378]
00D22047    E8 F22CFFFF           call 00D14D3E
00D2204C    59                    pop ecx
00D2204D    59                    pop ecx
00D2204E    80A5 80FCFFFF 00      and byte ptr ss:[ebp-380],0
00D22055    A1 5868D300           mov eax,dword ptr ds:[D36858]
00D2205A    8A80 E7040000         mov al,byte ptr ds:[eax+4E7]
00D22060    8885 08EBFFFF         mov byte ptr ss:[ebp-14F8],al
00D22066    0FB685 08EBFFFF       movzx eax,byte ptr ss:[ebp-14F8]
00D2206D    85C0                  test eax,eax
00D2206F    74 23                 je short 00D22094
00D22071    8B85 7CFCFFFF         mov eax,dword ptr ss:[ebp-384]
00D22077    3B85 D0FEFFFF         cmp eax,dword ptr ss:[ebp-130]
00D2207D    72 15                 jb short 00D22094
00D2207F    8B85 7CFCFFFF         mov eax,dword ptr ss:[ebp-384]
00D22085    3B85 D4FEFFFF         cmp eax,dword ptr ss:[ebp-12C]
00D2208B    73 07                 jnb short 00D22094
00D2208D    C685 80FCFFFF 01      mov byte ptr ss:[ebp-380],1
00D22094    8B85 64FDFFFF         mov eax,dword ptr ss:[ebp-29C]
00D2209A    0385 7CFCFFFF         add eax,dword ptr ss:[ebp-384]
00D220A0    8985 8CFCFFFF         mov dword ptr ss:[ebp-374],eax
00D220A6    8B85 8CFCFFFF         mov eax,dword ptr ss:[ebp-374]
00D220AC    8985 74FCFFFF         mov dword ptr ss:[ebp-38C],eax
00D220B2    0FB685 80FCFFFF       movzx eax,byte ptr ss:[ebp-380]
00D220B9    85C0                  test eax,eax
00D220BB    74 2E                 je short 00D220EB
00D220BD    8B85 84FCFFFF         mov eax,dword ptr ss:[ebp-37C]
00D220C3    C1E0 02               shl eax,2
00D220C6    50                    push eax
00D220C7    E8 89270000           call 00D24855
2005-6-18 16:33
0
fly
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
私信
6
先用Armadillo标准方式加壳记事本脱壳练习
2005-6-18 16:44
0
okdodo
雪    币: 233
活跃值: (10)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
私信
7
最初由 fly 发布
先用Armadillo标准方式加壳记事本脱壳练习


已经练习过。

问题是具体如何确定在什么时候按CTRL+F9返回到Magic Jump位置?
那个软件要反复按F9 N多次,眼睛都花了。是不是只能每中断一次都按
一下CTRL+F9看看呢?
2005-6-18 18:02
0
okdodo
雪    币: 233
活跃值: (10)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
私信
8
是个旧版ARMADILLO 已经找到位置
谢谢FLY的提醒 刚开始学脱壳 见笑了。
2005-6-18 20:24
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//