附件就是要脱壳的程序:
BatteryMon.zip通过 Armadillo Process Detach , 查出下列信息.
------------------------------------------------
Filename: BatteryMon.exe
Parent process iD: [00001110]
Processing...
[PROTECTiON SYSTEM]
Basic Edition
[PROTECTiON OPTiONS]
Debug-Blocker protection detected
CopyMem-II protection detected
Nanomites Processing enabled
[CHiLD iNFO]
Crypto call found: [004B58A2]
Child process iD: [00000CB4]
Entry point: [0041090F]
Original bytes: [E8E69100]
Detached successfully :)
----------------------------------------------------
双进程, 非标准.
----------------------------------
开始脱壳:
1.用OD载入, 用脚本转成 单进程 .
然后跟着 三人行 的教程 去脱壳 .
2.找到了Magic jump ,
修改je 成jmp , 跟随, 到下面 .
然后在两个salc上面一行下 硬件断点. shift+f9 ,运行到当前断点处.
取消硬件断点.
3.回头, 吧刚才修改的Magic jump 的那个 jmp 还原代码.
4.Alt+M , 打开内存 , 在 0040100 , F2下断点 , shift+F9运行 .
(三人行的脱壳视频, 这边直接就跳转到代码, F8往下找, 就可以找到OEP)
但是,这个时候, 被调试程序报错, 直接停止运行.
---------------------------------------
麻烦高手指点一下, 问题在哪 ?
我是按照 三人行的教程一步步来脱壳的 .
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
