Armadillo 3.78不知道为什么OEP会是这样的。-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

Armadillo 3.78不知道为什么OEP会是这样的。

发表于: 2005-8-25 19:48 7005

Armadillo 3.78不知道为什么OEP会是这样的。

yuhong

2005-8-25 19:48

7005

明明是ＶＢ编写，代码会是这样的？OEP应该为多少啊？9647b0？

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・0

免费・0

支持

最新回复 (21)
KuNgBiM 雪币： 817 活跃值： (1927) 能力值： ( LV12，RANK：2670 ) 在线值：发帖 500 回帖 2517 粉丝 22 关注私信	KuNgBiM 66 2 楼输入表加密问题，脱壳没处理好 2005-8-25 20:46 0
lzqgj 雪币： 280 活跃值： (281) 能力值： ( LV9，RANK：250 ) 在线值：发帖 38 回帖 312 粉丝 1 关注私信	lzqgj 6 3 楼跟我碰到的一样。我也正发愁 2005-8-25 23:14 0
闪电狼雪币： 108 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 709 粉丝 0 关注私信	闪电狼 4 楼入口被偷了吧 2005-8-25 23:56 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 5 楼这里不是OEP CopyMem-II 2005-8-26 00:17 0
xizhu 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 68 粉丝 0 关注私信	xizhu 6 楼估计是你脱的方法不对。搜索论坛找找fly发表过的关于“魔法转换”脱壳的帖子，按照他的那篇脱应该是可行的选择。 2005-8-26 08:06 0
basaiyv1 雪币： 420 活跃值： (49) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 318 粉丝 1 关注私信	basaiyv1 7 楼我也碰到这个问题，到这里实际是还在壳中，但不知如何走下去了 2005-9-2 11:43 0
yuhong 雪币： 216 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 74 粉丝 0 关注私信	yuhong 8 楼谢谢大家的回复，论坛上不了几天，今天终于可以了。我只改了一处，大家所说的魔术跳，然后alt+m设置401000内存断过去的。我再试一试，我都试脱过几个文件，就是这个出现这种情况。 2005-9-2 13:05 0
yuhong 雪币： 216 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 74 粉丝 0 关注私信	yuhong 9 楼最初由 fly 发布这里不是OEP CopyMem-II 谢谢FLY大哥，我再试试CopyMem-II的脱法！ 2005-9-2 13:07 0
basaiyv1 雪币： 420 活跃值： (49) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 318 粉丝 1 关注私信	basaiyv1 10 楼谢谢FLY。终于脱了一个穿山甲，呵呵 2005-9-2 16:45 0
bokonger 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 134 粉丝 0 关注私信	bokonger 11 楼这个有结果其他的处理 2005-9-2 16:59 0
yuhong 雪币： 216 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 74 粉丝 0 关注私信	yuhong 12 楼最初由 basaiyv1 发布谢谢FLY。终于脱了一个穿山甲，呵呵你就好啦，我还没有搞定，原因是软件一开始就出现这样的错误，使用bp WaitForDebugEvent bp WriteProcessMemory he WaitForDebugEvent都断不下来，(shift+9可以跳过错处，但断不下来，不知道怎样可以dump出不加密的文件)。 2005-9-2 22:12 0
basaiyv1 雪币： 420 活跃值： (49) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 318 粉丝 1 关注私信	basaiyv1 13 楼你的OD会不会有问题吧 2005-9-3 15:22 0
yuhong 雪币： 216 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 74 粉丝 0 关注私信	yuhong 14 楼最初由 basaiyv1 发布你的OD会不会有问题吧平时都是使用这版本，试了几个版本一样的！就是这软件出现这情况，没办法对于初哥来说，都不知道怎样下手好． 2005-9-7 21:19 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 15 楼先去做简单的，没必要一个程序拦到底简单的熟悉了自然就可以去分析难点的 2005-9-7 21:48 0
xizhu 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 68 粉丝 0 关注私信	xizhu 16 楼俺对arm有感情，手工脱的第一个壳就是arm 4.x copymem_II的，能说说是什么程序吗？我来试试。 2005-9-8 07:53 0
yuhong 雪币： 216 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 74 粉丝 0 关注私信	yuhong 17 楼最初由 fly 发布先去做简单的，没必要一个程序拦到底简单的熟悉了自然就可以去分析难点的大哥说得有道理，我知道错处是从那来了，是我加了忽略范围C000001E(INVALID LOCK SEQUENCE)所至的，但不忽略的话又会有很多的异常，汗！ fly大哥，我应该怎样处理好啊？ 2005-9-9 20:16 0
limee 雪币： 1540 活跃值： (2807) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 976 粉丝 1 关注私信	limee 18 楼 Fly的工夫也不是一天就会的，都是先从简单的弄起的。我想多数原因是我们不会跳过壳的anti 先练习一下简单的壳，学会跳过anti 掌握脱壳，关键就是要隐藏好我们的调试器最初由 yuhong 发布大哥说得有道理，我知道错处是从那来了，是我加了忽略范围C000001E(INVALID LOCK SEQUENCE)所至的，但不忽略的话又会有很多的异常，汗！ fly大哥，我应该怎样处理好啊？ 2005-9-9 20:43 0
yuhong 雪币： 216 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 74 粉丝 0 关注私信	yuhong 19 楼最初由 limee 发布 Fly的工夫也不是一天就会的，都是先从简单的弄起的。我想多数原因是我们不会跳过壳的anti 先练习一下简单的壳，学会跳过anti 掌握脱壳，关键就是要隐藏好我们的调试器 ........ 感谢大家，在努力研究下，终于解决了并成功dump下来，高兴！呵呵.... 是ＶＢ程序，又没戏了，上次那个也是ＶＢ程序，到现在也不知道怎样确定rva和iat大小，追dump下来的，进入call内是空的，搜FF25的表好象不对啊，我知道在加壳的程序，改了魔术跳后到的ＯＥＰ处，表是已经没有加密了，但怎样确定ＶＢ的表？汗 2005-9-9 21:31 0
basaiyv1 雪币： 420 活跃值： (49) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 318 粉丝 1 关注私信	basaiyv1 20 楼 ff15改FF15试试 2005-9-10 11:21 0
yuhong 雪币： 216 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 74 粉丝 0 关注私信	yuhong 21 楼最初由 basaiyv1 发布 ff15改FF15试试请问兄弟按你的指示搜索了这个． ::00405170:: FF15 3504F05F CALL [5FF00435] 那我怎样找到正确表？d 5ff00435没找到地址．我应该怎样做？是ＶＢ程序． 2005-9-10 13:52 0
basaiyv1 雪币： 420 活跃值： (49) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 318 粉丝 1 关注私信	basaiyv1 22 楼我也不知道，VB没有脱过得说 2005-9-12 09:18 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

yuhong

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (21)
KuNgBiM 雪币： 817 活跃值： (1927) 能力值： ( LV12，RANK：2670 ) 在线值：发帖 500 回帖 2517 粉丝 22 关注私信	KuNgBiM 66 2 楼输入表加密问题，脱壳没处理好 2005-8-25 20:46 0
lzqgj 雪币： 280 活跃值： (281) 能力值： ( LV9，RANK：250 ) 在线值：发帖 38 回帖 312 粉丝 1 关注私信	lzqgj 6 3 楼跟我碰到的一样。我也正发愁 2005-8-25 23:14 0
闪电狼雪币： 108 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 709 粉丝 0 关注私信	闪电狼 4 楼入口被偷了吧 2005-8-25 23:56 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 5 楼这里不是OEP CopyMem-II 2005-8-26 00:17 0
xizhu 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 68 粉丝 0 关注私信	xizhu 6 楼估计是你脱的方法不对。搜索论坛找找fly发表过的关于“魔法转换”脱壳的帖子，按照他的那篇脱应该是可行的选择。 2005-8-26 08:06 0
basaiyv1 雪币： 420 活跃值： (49) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 318 粉丝 1 关注私信	basaiyv1 7 楼我也碰到这个问题，到这里实际是还在壳中，但不知如何走下去了 2005-9-2 11:43 0
yuhong 雪币： 216 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 74 粉丝 0 关注私信	yuhong 8 楼谢谢大家的回复，论坛上不了几天，今天终于可以了。我只改了一处，大家所说的魔术跳，然后alt+m设置401000内存断过去的。我再试一试，我都试脱过几个文件，就是这个出现这种情况。 2005-9-2 13:05 0
yuhong 雪币： 216 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 74 粉丝 0 关注私信	yuhong 9 楼最初由 fly 发布这里不是OEP CopyMem-II 谢谢FLY大哥，我再试试CopyMem-II的脱法！ 2005-9-2 13:07 0
basaiyv1 雪币： 420 活跃值： (49) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 318 粉丝 1 关注私信	basaiyv1 10 楼谢谢FLY。终于脱了一个穿山甲，呵呵 2005-9-2 16:45 0
bokonger 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 134 粉丝 0 关注私信	bokonger 11 楼这个有结果其他的处理 2005-9-2 16:59 0
yuhong 雪币： 216 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 74 粉丝 0 关注私信	yuhong 12 楼最初由 basaiyv1 发布谢谢FLY。终于脱了一个穿山甲，呵呵你就好啦，我还没有搞定，原因是软件一开始就出现这样的错误，使用bp WaitForDebugEvent bp WriteProcessMemory he WaitForDebugEvent都断不下来，(shift+9可以跳过错处，但断不下来，不知道怎样可以dump出不加密的文件)。 2005-9-2 22:12 0
basaiyv1 雪币： 420 活跃值： (49) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 318 粉丝 1 关注私信	basaiyv1 13 楼你的OD会不会有问题吧 2005-9-3 15:22 0
yuhong 雪币： 216 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 74 粉丝 0 关注私信	yuhong 14 楼最初由 basaiyv1 发布你的OD会不会有问题吧平时都是使用这版本，试了几个版本一样的！就是这软件出现这情况，没办法对于初哥来说，都不知道怎样下手好． 2005-9-7 21:19 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 15 楼先去做简单的，没必要一个程序拦到底简单的熟悉了自然就可以去分析难点的 2005-9-7 21:48 0
xizhu 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 68 粉丝 0 关注私信	xizhu 16 楼俺对arm有感情，手工脱的第一个壳就是arm 4.x copymem_II的，能说说是什么程序吗？我来试试。 2005-9-8 07:53 0
yuhong 雪币： 216 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 74 粉丝 0 关注私信	yuhong 17 楼最初由 fly 发布先去做简单的，没必要一个程序拦到底简单的熟悉了自然就可以去分析难点的大哥说得有道理，我知道错处是从那来了，是我加了忽略范围C000001E(INVALID LOCK SEQUENCE)所至的，但不忽略的话又会有很多的异常，汗！ fly大哥，我应该怎样处理好啊？ 2005-9-9 20:16 0
limee 雪币： 1540 活跃值： (2807) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 976 粉丝 1 关注私信	limee 18 楼 Fly的工夫也不是一天就会的，都是先从简单的弄起的。我想多数原因是我们不会跳过壳的anti 先练习一下简单的壳，学会跳过anti 掌握脱壳，关键就是要隐藏好我们的调试器最初由 yuhong 发布大哥说得有道理，我知道错处是从那来了，是我加了忽略范围C000001E(INVALID LOCK SEQUENCE)所至的，但不忽略的话又会有很多的异常，汗！ fly大哥，我应该怎样处理好啊？ 2005-9-9 20:43 0
yuhong 雪币： 216 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 74 粉丝 0 关注私信	yuhong 19 楼最初由 limee 发布 Fly的工夫也不是一天就会的，都是先从简单的弄起的。我想多数原因是我们不会跳过壳的anti 先练习一下简单的壳，学会跳过anti 掌握脱壳，关键就是要隐藏好我们的调试器 ........ 感谢大家，在努力研究下，终于解决了并成功dump下来，高兴！呵呵.... 是ＶＢ程序，又没戏了，上次那个也是ＶＢ程序，到现在也不知道怎样确定rva和iat大小，追dump下来的，进入call内是空的，搜FF25的表好象不对啊，我知道在加壳的程序，改了魔术跳后到的ＯＥＰ处，表是已经没有加密了，但怎样确定ＶＢ的表？汗 2005-9-9 21:31 0
basaiyv1 雪币： 420 活跃值： (49) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 318 粉丝 1 关注私信	basaiyv1 20 楼 ff15改FF15试试 2005-9-10 11:21 0
yuhong 雪币： 216 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 74 粉丝 0 关注私信	yuhong 21 楼最初由 basaiyv1 发布 ff15改FF15试试请问兄弟按你的指示搜索了这个． ::00405170:: FF15 3504F05F CALL [5FF00435] 那我怎样找到正确表？d 5ff00435没找到地址．我应该怎样做？是ＶＢ程序． 2005-9-10 13:52 0
basaiyv1 雪币： 420 活跃值： (49) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 318 粉丝 1 关注私信	basaiyv1 22 楼我也不知道，VB没有脱过得说 2005-9-12 09:18 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复