能力值:
( LV9,RANK:370 )
|
-
-
2 楼
Armadillo V5.00-V5.X Dll -> Silicon Realms Toolworks * Sign.By.fly *
|
能力值:
( LV9,RANK:370 )
|
-
-
3 楼
2个文件都是 穿山甲 Armadillo V5.00-V5.X Dll -> Silicon Realms Toolworks * Sign.By.fly *
解决:
1,你自己找脚本,很老的壳,脚本一大堆。shooooo肯定有写过。
2,参考我的跟踪思路:
OD打开,之后停在OEP。。。。。
10047FE2 >/$ 837C24 08 01 cmp dword ptr [esp+8], 1 ; oep
10047FE7 |. 75 05 jnz short 10047FEE
10047FE9 |. E8 32490000 call 1004C920
10047FEE |> FF7424 04 push dword ptr [esp+4]
10047FF2 |. 8B4C24 10 mov ecx, dword ptr [esp+10]
10047FF6 |. 8B5424 0C mov edx, dword ptr [esp+C]
10047FFA |. E8 EDFEFFFF call 10047EEC
10047FFF |. 59 pop ecx
10048000 \. C2 0C00 retn 0C
Ctrl+G "GetModuleHandleA "
7C80B758 |. FF70 04 push dword ptr [eax+4] ; /pModule
7C80B75B |. E8 7D2D0000 call GetModuleHandleW ; \GetModuleHandleW
7C80B760 |> 5D pop ebp
7C80B761 |. C2 0400 retn 4 ; 断点
3次shift+F9
堆栈:
0006F614 1004A202 返回到 DnExpa.1004A202 来自 kernel32.GetModuleHandleA
0006F618 1006D1EC ASCII "KERNEL32.DLL"
1004A1FC |. FF15 50A00610 call dword ptr [<&KERNEL32.GetModuleH>; \GetModuleHandleA
1004A202 |. 85C0 test eax, eax ; kernel32.7C800000
1004A204 |. 74 1A je short 1004A220
1004A206 |. 68 A4E80610 push 1006E8A4 ; /ProcNameOrOrdinal = "EncodePointer"
1004A20B |. 50 push eax ; |hModule
1004A20C |. FF15 78A00610 call dword ptr [<&KERNEL32.GetProcAdd>; \GetProcAddress
1004A212 |> 85C0 test eax, eax
1004A214 |. 74 0A je short 1004A220
1004A216 |. FF7424 08 push dword ptr [esp+8]
1004A21A |. FFD0 call eax //应该就在这里了。自己看吧。。。。。没有vm很简单的。
1004A21C |. 894424 08 mov dword ptr [esp+8], eax
1004A220 |> 8B4424 08 mov eax, dword ptr [esp+8]
1004A224 |. 5E pop esi
1004A225 \. C3 retn
|
能力值:
( LV9,RANK:370 )
|
-
-
4 楼
为了50kx,呵呵,,,我帮你搜一下,找到一个更加详细的参考:http://www.hack59.com/news/crack/tuoke/2009101509250392.html
|
能力值:
( LV2,RANK:10 )
|
-
-
5 楼
太感谢了啊,这么快就有答复了,谢谢~~~ 
|
能力值:
( LV2,RANK:10 )
|
-
-
6 楼
再次请求帮助啊,根据您的提醒,发现它果然是穿山甲的壳,那么我就找了下自动脱壳机,ArmaG3ddon的好几个版本,提示已经脱成功了,但是奇怪的是主程序运行的时候,反而加载不了DLL了,是不是自动脱壳机不行啊,谢谢 
|
能力值:
( LV2,RANK:10 )
|
-
-
7 楼
|
|
|
|
