Armadillo 修复 IAT 问题-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (8)
南蛮妈妈雪币： 233 活跃值： (130) 能力值： ( LV8，RANK：130 ) 在线值：发帖 6 回帖 472 粉丝 0 关注私信	南蛮妈妈 3 2 楼南蛮妈妈觉得强壳很难写脚本 2005-10-27 11:35 0
nbcool 雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 39 粉丝 0 关注私信	nbcool 3 楼谁有好办法？IAT的开始点好像确认不了，结束可以确认，真的挺奇怪。 2005-10-27 12:34 0
闪电狼雪币： 108 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 709 粉丝 0 关注私信	闪电狼 4 楼 http://bbs.pediy.com/showthread.php?s=&threadid=17253 看看这片文章学学其他工具的使用 2005-10-27 14:38 0
nbcool 雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 39 粉丝 0 关注私信	nbcool 5 楼多谢，我看一下。 2005-10-27 17:55 0
nbcool 雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 39 粉丝 0 关注私信	nbcool 6 楼不行哪，不知道是不是看不懂还是什么，主要是magic jump 找不到。 HE GetModuleHandleA 下了也走不下去。程序直接中断了。 2005-10-28 10:28 0
nbcool 雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 39 粉丝 0 关注私信	nbcool 7 楼背景源程序是游戏彩虹冒险,有两个主文件加了壳一个是 ioprotect.exe 这应该是保护程序，禁止外挂的。另一个是sp.exe，是游戏主程序。客户端下载 http://club.happydigi.com/down/client_sp.asp 开始脱 ioprotect.exe 研究了有些天了，一开始怀疑是我原来脱的壳有问题，原来我用脚本脱的，3.x标准壳脚本。后来就想手动脱壳，因为在进程里面看不到双进程，所以怀疑是单进程壳。参考了一次脱壳法和 Armadillo 3.00a - 3.61 标准壳脱法，结果发现 /CALL 到 GetModuleHandleA 来自 xxxx \pModule = "advapi32.dll" 之后ALT+F9，可以回到主进程，然后寻找magic jump。可是改了 JE 为 JMP 之后在salc salc之上的jmp 设断，却没法F9运行到断点，进程会直接结束，然后又开了一个程序(sp.exe)。这里猜测两个程序是互相保护的。所以脱壳失败，有哪位高手愿意试试看，希望能贴出破解过程给小弟学习？而且我用了网上很多方法监测不到这个壳的版本。第一次脱这么复杂的壳，让各位见笑了。这个游戏运行 sp.exe 和 ioprotect.exe survivalproject.exe 都可以启动，看来是互相调用的，用的是CreateProcess 函数，游戏不大，可以放心下载 2005-11-3 13:17 0
nbcool 雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 39 粉丝 0 关注私信	nbcool 8 楼没人关注啊，:( 顺便问一下，上面ATL+F9的返回时机是什么，该怎么判断，堆栈有什么变化。 2005-11-4 09:35 0
nbcool 雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 39 粉丝 0 关注私信	nbcool 9 楼 up up up 2005-11-9 17:29 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (8)
南蛮妈妈雪币： 233 活跃值： (130) 能力值： ( LV8，RANK：130 ) 在线值：发帖 6 回帖 472 粉丝 0 关注私信	南蛮妈妈 3 2 楼南蛮妈妈觉得强壳很难写脚本 2005-10-27 11:35 0
nbcool 雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 39 粉丝 0 关注私信	nbcool 3 楼谁有好办法？IAT的开始点好像确认不了，结束可以确认，真的挺奇怪。 2005-10-27 12:34 0
闪电狼雪币： 108 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 709 粉丝 0 关注私信	闪电狼 4 楼 http://bbs.pediy.com/showthread.php?s=&threadid=17253 看看这片文章学学其他工具的使用 2005-10-27 14:38 0
nbcool 雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 39 粉丝 0 关注私信	nbcool 5 楼多谢，我看一下。 2005-10-27 17:55 0
nbcool 雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 39 粉丝 0 关注私信	nbcool 6 楼不行哪，不知道是不是看不懂还是什么，主要是magic jump 找不到。 HE GetModuleHandleA 下了也走不下去。程序直接中断了。 2005-10-28 10:28 0
nbcool 雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 39 粉丝 0 关注私信	nbcool 7 楼背景源程序是游戏彩虹冒险,有两个主文件加了壳一个是 ioprotect.exe 这应该是保护程序，禁止外挂的。另一个是sp.exe，是游戏主程序。客户端下载 http://club.happydigi.com/down/client_sp.asp 开始脱 ioprotect.exe 研究了有些天了，一开始怀疑是我原来脱的壳有问题，原来我用脚本脱的，3.x标准壳脚本。后来就想手动脱壳，因为在进程里面看不到双进程，所以怀疑是单进程壳。参考了一次脱壳法和 Armadillo 3.00a - 3.61 标准壳脱法，结果发现 /CALL 到 GetModuleHandleA 来自 xxxx \pModule = "advapi32.dll" 之后ALT+F9，可以回到主进程，然后寻找magic jump。可是改了 JE 为 JMP 之后在salc salc之上的jmp 设断，却没法F9运行到断点，进程会直接结束，然后又开了一个程序(sp.exe)。这里猜测两个程序是互相保护的。所以脱壳失败，有哪位高手愿意试试看，希望能贴出破解过程给小弟学习？而且我用了网上很多方法监测不到这个壳的版本。第一次脱这么复杂的壳，让各位见笑了。这个游戏运行 sp.exe 和 ioprotect.exe survivalproject.exe 都可以启动，看来是互相调用的，用的是CreateProcess 函数，游戏不大，可以放心下载 2005-11-3 13:17 0
nbcool 雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 39 粉丝 0 关注私信	nbcool 8 楼没人关注啊，:( 顺便问一下，上面ATL+F9的返回时机是什么，该怎么判断，堆栈有什么变化。 2005-11-4 09:35 0
nbcool 雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 39 粉丝 0 关注私信	nbcool 9 楼 up up up 2005-11-9 17:29 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复