脱壳中遇到的问题 Armadillo 3.78 向各位大哥请教-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

脱壳中遇到的问题 Armadillo 3.78 向各位大哥请教

发表于: 2005-11-3 10:48 4022

脱壳中遇到的问题 Armadillo 3.78 向各位大哥请教

hunter_boy 活跃值

2005-11-3 10:48

4022

File Recover

http://www.download.com/File-Recover/3000-2248_4-10380961.html

检测是 Armadillo 3.78 -> Silicon Realms Toolworks [Overlay]

我试着脱了一下
IAT需要信息

OEP 0001FAFD
RAV 00021000  SIZE 0000058C

第一次来到这里时
001265CC  00CEAC13  /CALL 到 GetModuleHandleA 来自 00CEAC0D
001265D0  00126710  \pModule = "kernel32.dll"
如果返回改了jmp 就会出现下面的提示

而且不取消中断的话，还会中断到另一处
0011EC74 0157AC13 /CALL 到 GetModuleHandleA 来自 0157AC0D
0011EC78 0011EDB8 \pModule = "kernel32.dll"

也有一段可以jmp的地方

请问这是怎么回事呢？
我看了hacnho大哥的教程，没找到这样的，主要是教程基本上都不是英文的
我只能看图学习，另外说一句，里面的flash教材很好

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・0

免费・0

支持

最新回复 (2)
hunter_boy 雪币： 261 活跃值： (230) 能力值： ( LV8，RANK：130 ) 在线值：发帖 28 回帖 249 粉丝 3 关注私信	hunter_boy 3 2 楼没有大哥帮看看吗？自己鼎一下 2005-11-4 17:38 0
hunter_boy 雪币： 261 活跃值： (230) 能力值： ( LV8，RANK：130 ) 在线值：发帖 28 回帖 249 粉丝 3 关注私信	hunter_boy 3 3 楼 CheckCode 下一个 ArmAccess.dll ，脱壳后的程序就可以用乐附件:armaccess.zip arm 果然是好东西还是未注册，不过关于 ArmAccess.dll 网上好多有意思的东西 2005-11-5 00:01 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

hunter_boy

发帖

249

回帖

130

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (2)
hunter_boy 雪币： 261 活跃值： (230) 能力值： ( LV8，RANK：130 ) 在线值：发帖 28 回帖 249 粉丝 3 关注私信	hunter_boy 3 2 楼没有大哥帮看看吗？自己鼎一下 2005-11-4 17:38 0
hunter_boy 雪币： 261 活跃值： (230) 能力值： ( LV8，RANK：130 ) 在线值：发帖 28 回帖 249 粉丝 3 关注私信	hunter_boy 3 3 楼 CheckCode 下一个 ArmAccess.dll ，脱壳后的程序就可以用乐附件:armaccess.zip arm 果然是好东西还是未注册，不过关于 ArmAccess.dll 网上好多有意思的东西 2005-11-5 00:01 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复