Armadillo 1.xx - 2.xx -> Silicon Realms Toolworks [重叠] 脱壳高手进-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

Armadillo 1.xx - 2.xx -> Silicon Realms Toolworks [重叠] 脱壳高手进

发表于: 2005-11-6 14:37 6656

Armadillo 1.xx - 2.xx -> Silicon Realms Toolworks [重叠] 脱壳高手进

杨长伟

2005-11-6 14:37

6656

我看了教程，但仍然无法脱去此壳（Armadillo 1.xx - 2.xx -> Silicon Realms Toolworks [重叠]）
在运行到如下的地方无法脱壳:
OD Load 后在这里：
0063A880 J>/$  55             push ebp
0063A881 |.  8BEC          mov ebp,esp
0063A883 |.  6A FF          push -1
0063A885 |.  68 905A6500    push JuBa.00655A90
0063A88A |.  68 58A56300    push JuBa.0063A558          ;  SE 句柄安装
0063A88F |.  64:A1 00000000 mov eax,dword ptr fs:[0]
0063A895 |.  50             push eax
0063A896 |.  64:8925 00000000 mov dword ptr fs:[0],esp
0063A89D |.  83EC 58       sub esp,58
0063A8A0 |.  53             push ebx

bp OpenMutexA 后修正 00401000 处一段代码

00401000    60                pushad
00401001    9C                pushfd
00401002    68 F0FB1200       push 12FBF0       这里不同改为 12DDE0
00401007    33C0             xor eax,eax
00401009    50                push eax
0040100A    50                push eax
0040100B    E8 B5A6A577       call 77E5B6C5    这里不同改为  call kernel32.CreateMutexA
00401010    9D                popfd
00401011    61                popad
00401012 - E9 7A13A677       jmp KERNEL32.77E62391 这里不同改为 jmp kernel32.OpenMutexA

创建EIP       SHIFT + F9

77E7AFA6 K>  55                push ebp
77E7AFA7    8BEC             mov ebp,esp
77E7AFA9    51                push ecx
77E7AFAA    51                push ecx
77E7AFAB    837D 10 00       cmp dword ptr ss:[ebp+10],0
77E7AFAF    56                push esi
77E7AFB0    0F84 2DF40100    je KERNEL32.77E9A3E3
77E7AFB6    64:A1 18000000    mov eax,dword ptr fs:[18]
77E7AFBC    FF75 10          push dword ptr ss:[ebp+10]

下断  he GetModuleHandleA

77E6AB06 K>  55                push ebp                      在这里停下
77E6AB07    8BEC             mov ebp,esp
77E6AB09    837D 08 00       cmp dword ptr ss:[ebp+8],0
77E6AB0D    0F84 31F50000    je KERNEL32.77E7A044　　　　　　　　　　重新设断
77E6AB13    FF75 08          push dword ptr ss:[ebp+8]
77E6AB16    E8 9EC8FFFF       call KERNEL32.77E673B9
77E6AB1B    85C0             test eax,eax
77E6AB1D    74 08             je short KERNEL32.77E6AB27

F9 1
0012D254  /0012D29C
0012D258  |77A03F02  返回到 OLEAUT32.77A03F02 来自 KERNEL32.GetModuleHandleA
0012D25C  |779A0630  ASCII "kernel32.dll"
0012D260  |77A04081  返回到 OLEAUT32.77A04081 来自 OLEAUT32.77A03EC0
0012D264  |77990000  offset OLEAUT32.#345

F9 2
0012D248  /0012D29C
0012D24C  |77A072DB  返回到 OLEAUT32.77A072DB 来自 KERNEL32.GetModuleHandleA
0012D250  |779A0994  ASCII "KERNEL32"
0012D254  |77A0412A  返回到 OLEAUT32.77A0412A 来自 OLEAUT32.77A072D0
0012D258  |77A0620B  返回到 OLEAUT32.77A0620B

F9 3
0012D180  /0012D1B4
0012D184  |779A83DB  返回到 OLEAUT32.779A83DB 来自 KERNEL32.GetModuleHandleA
0012D188  |77A1ADA8  ASCII "KERNEL32.DLL"
0012D18C  |779A7A32  返回到 OLEAUT32.779A7A32 来自 OLEAUT32.779A83D0

F9 N+1
00128CD8  |00E903DD  返回到 00E903DD 来自 KERNEL32.GetModuleHandleA
00128CDC  |00EA3D68  ASCII "kernel32.dll"
00128CE0  |00EA4F30  ASCII "VirtualAlloc"

F9 N+2
00128A4C  /00128CD8
00128A50  |00E7999F  返回到 00E7999F 来自 KERNEL32.GetModuleHandleA
00128A54  |00128B8C  ASCII "kernel32.dll"                            此处取消断点　　ALT + F9

来到下面
00E7999F    8B0D 2091EA00    mov ecx,dword ptr ds:[EA9120]
00E799A5    89040E          mov dword ptr ds:[esi+ecx],eax
00E799A8    A1 2091EA00       mov eax,dword ptr ds:[EA9120]
00E799AD    393C06          cmp dword ptr ds:[esi+eax],edi
00E799B0    75 16             jnz short 00E799C8
00E799B2    8D85 B4FEFFFF    lea eax,dword ptr ss:[ebp-14C]
00E799B8    50                push eax
00E799B9    FF15 D4E0E900    call dword ptr ds:[E9E0D4]    ; KERNEL32.LoadLibraryA
00E799BF    8B0D 2091EA00    mov ecx,dword ptr ds:[EA9120]
00E799C5    89040E          mov dword ptr ds:[esi+ecx],eax
00E799C8    A1 2091EA00       mov eax,dword ptr ds:[EA9120]
00E799CD    393C06          cmp dword ptr ds:[esi+eax],edi
00E799D0    0F84 AB000000    je 00E79A81                               改je  为jmp 并在00401000 处下断
00E799D6    33C9             xor ecx,ecx
00E799D8    8B03             mov eax,dword ptr ds:[ebx]
00E799DA    3938             cmp dword ptr ds:[eax],edi
00E799DC    74 06             je short 00E799E4

SHIFT + F9 来到下面

00E9472D    8B04B0          mov eax,dword ptr ds:[eax+esi*>                OEP 不可以　dump ????????
00E94730    3341 38          xor eax,dword ptr ds:[ecx+38]
00E94733    8B0D 90D5EA00    mov ecx,dword ptr ds:[EAD590]  ; JuBa.00650310
00E94739    3341 1C          xor eax,dword ptr ds:[ecx+1C]
00E9473C    8B0D 90D5EA00    mov ecx,dword ptr ds:[EAD590]  ; JuBa.00650310
00E94742    3341 14          xor eax,dword ptr ds:[ecx+14]
00E94745    8B0D 90D5EA00    mov ecx,dword ptr ds:[EAD590]  ; JuBa.00650310
00E9474B    3341 3C          xor eax,dword ptr ds:[ecx+3C]
00E9474E    8B0D 90D5EA00    mov ecx,dword ptr ds:[EAD590]  ; JuBa.00650310
00E94754    3341 58          xor eax,dword ptr ds:[ecx+58]
00E94757    3385 9CD5FFFF    xor eax,dword ptr ss:[ebp-2A64>
00E9475D    50                push eax
00E9475E    FFB5 D4D5FFFF    push dword ptr ss:[ebp-2A2C]
00E94764    E8 682D0000       call 00E974D1
00E94769    83C4 0C          add esp,0C
00E9476C    8B85 A0D5FFFF    mov eax,dword ptr ss:[ebp-2A60>
00E94772    40                inc eax
00E94773    8985 A0D5FFFF    mov dword ptr ss:[ebp-2A60],ea>
00E94779    8B85 D4D5FFFF    mov eax,dword ptr ss:[ebp-2A2C>
00E9477F    05 00100000       add eax,1000
00E94784    8985 D4D5FFFF    mov dword ptr ss:[ebp-2A2C],ea>
00E9478A ^ E9 07FFFFFF       jmp 00E94696
00E9478F    8B85 C4D5FFFF    mov eax,dword ptr ss:[ebp-2A3C>
00E94795    25 FF0F0000       and eax,0FFF
00E9479A    85C0             test eax,eax
00E9479C    75 33             jnz short 00E947D1
00E9479E    8B85 C8D5FFFF    mov eax,dword ptr ss:[ebp-2A38>
00E947A4    25 FF0F0000       and eax,0FFF
00E947A9    85C0             test eax,eax

我试过不可以脱壳,请帮忙解决.

tks!!!

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・0

免费・0

支持

最新回复 (12)
杨长伟雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 19 粉丝 0 关注私信	杨长伟 2 楼 00F04722 A1 34D7F100 mov eax,dword ptr ds:[F1D734] 00F04727 8B0D 90D5F100 mov ecx,dword ptr ds:[F1D590] ; JuBa.00650310 00F0472D 8B04B0 mov eax,dword ptr ds:[eax+esi*4] 用脱壳脚本也会停在这里 00F04730 3341 38 xor eax,dword ptr ds:[ecx+38] 00F04733 8B0D 90D5F100 mov ecx,dword ptr ds:[F1D590] ; JuBa.00650310 00F04739 3341 1C xor eax,dword ptr ds:[ecx+1C] 00F0473C 8B0D 90D5F100 mov ecx,dword ptr ds:[F1D590] ; JuBa.00650310 00F04742 3341 14 xor eax,dword ptr ds:[ecx+14] 00F04745 8B0D 90D5F100 mov ecx,dword ptr ds:[F1D590] ; JuBa.00650310 00F0474B 3341 3C xor eax,dword ptr ds:[ecx+3C] 00F0474E 8B0D 90D5F100 mov ecx,dword ptr ds:[F1D590] ; JuBa.00650310 00F04754 3341 58 xor eax,dword ptr ds:[ecx+58] 00F04757 3385 9CD5FFFF xor eax,dword ptr ss:[ebp-2A64] 00F0475D 50 push eax 00F0475E FFB5 D4D5FFFF push dword ptr ss:[ebp-2A2C] 2005-11-6 15:11 0
basaiyv1 雪币： 420 活跃值： (49) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 318 粉丝 1 关注私信	basaiyv1 3 楼这段不是入口点，这里只不过是修复了输入表吧 2005-11-7 00:02 0
星际雪币： 82 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 88 粉丝 0 关注私信	星际 4 楼链接已失效。 2005-11-7 07:49 0
杨长伟雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 19 粉丝 0 关注私信	杨长伟 5 楼 3楼 2005-11-07,00:02 -------------------------------------------------------------------------------- 这段不是入口点，这里只不过是修复了输入表吧按你说的那样,程序再执行一步就死掉,oep在何处; 如果是修复了输入表,为何不可向下再执行? 2005-11-7 22:02 0
杨长伟雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 19 粉丝 0 关注私信	杨长伟 6 楼图片:http://upserver5.ys168.com/ys168up/D0/?unpack for OD.bmpy72z72fdp9f9fd4z95bi7b4b5b1b2fq9bp9fl9f9f6z98e09e12e24b1f9f2fd5b0b0fd7z 程式:http://free.ys168.com:8000/ys168up/D0/?JuBa.exey70z70fdp9f9fd4z95bi7b4b5b1b2f5b0fd2b6fll6e01e20e01e24b1f9f2fd5b0b0fd7z 2005-11-7 22:04 0
pjzg 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 35 粉丝 0 关注私信	pjzg 7 楼 00F04722 A1 34D7F100 mov eax,dword ptr ds:[F1D734] 下了内存中断了运行后就停在这里,如果果不把双进程改为单程就没问题,不过也无法脱壳 00F04727 8B0D 90D5F100 mov ecx,dword ptr ds:[F1D590] ; JuBa.00650310 00F0472D 8B04B0 mov eax,dword ptr ds:[eax+esi*4] 用脱壳脚本也会停在这里 00F04730 3341 38 xor eax,dword ptr ds:[ecx+38] 00F04733 8B0D 90D5F100 mov ecx,dword ptr ds:[F1D590] ; JuBa.00650310 00F04739 3341 1C xor eax,dword ptr ds:[ecx+1C] 00F0473C 8B0D 90D5F100 mov ecx,dword ptr ds:[F1D590] ; JuBa.00650310 00F04742 3341 14 xor eax,dword ptr ds:[ecx+14] 00F04745 8B0D 90D5F100 mov ecx,dword ptr ds:[F1D590] ; JuBa.00650310 00F0474B 3341 3C xor eax,dword ptr ds:[ecx+3C] 00F0474E 8B0D 90D5F100 mov ecx,dword ptr ds:[F1D590] ; JuBa.00650310 00F04754 3341 58 xor eax,dword ptr ds:[ecx+58] 00F04757 3385 9CD5FFFF xor eax,dword ptr ss:[ebp-2A64] 00F0475D 50 push eax 00F0475E FFB5 D4D5FFFF push dword ptr ss:[ebp-2A2C] 2006-1-20 01:39 0
rockhard 雪币： 441 活跃值： (149) 能力值： ( LV9，RANK：170 ) 在线值：发帖 16 回帖 196 粉丝 2 关注私信	rockhard 4 8 楼帮你顶！这个壳搞不定呀！ 2006-1-20 10:28 0
rockhard 雪币： 441 活跃值： (149) 能力值： ( LV9，RANK：170 ) 在线值：发帖 16 回帖 196 粉丝 2 关注私信	rockhard 4 9 楼楼主是在脱新概念英语句霸4.56版?? 我也打算整个最近学学英语呢。楼主壳搞定了发个邮件给我呀wnh1@sohu.com .谢谢啦：） 2006-1-20 10:33 0
chasgone 雪币： 217 活跃值： (61) 能力值： ( LV6，RANK：90 ) 在线值：发帖 4 回帖 94 粉丝 1 关注私信	chasgone 2 10 楼就在这里dump，修改正确oep试试 2006-1-20 10:34 0
pjzg 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 35 粉丝 0 关注私信	pjzg 11 楼这在这里吗,无法调试的那里试试,能再详细解答下下吗 2006-1-20 13:43 0
pjzg 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 35 粉丝 0 关注私信	pjzg 12 楼没人关住这个问题吗 2006-1-21 02:14 0
pjzg 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 35 粉丝 0 关注私信	pjzg 13 楼双层壳,里面还有一层aspack 2006-1-22 16:42 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

杨长伟

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (12)
杨长伟雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 19 粉丝 0 关注私信	杨长伟 2 楼 00F04722 A1 34D7F100 mov eax,dword ptr ds:[F1D734] 00F04727 8B0D 90D5F100 mov ecx,dword ptr ds:[F1D590] ; JuBa.00650310 00F0472D 8B04B0 mov eax,dword ptr ds:[eax+esi*4] 用脱壳脚本也会停在这里 00F04730 3341 38 xor eax,dword ptr ds:[ecx+38] 00F04733 8B0D 90D5F100 mov ecx,dword ptr ds:[F1D590] ; JuBa.00650310 00F04739 3341 1C xor eax,dword ptr ds:[ecx+1C] 00F0473C 8B0D 90D5F100 mov ecx,dword ptr ds:[F1D590] ; JuBa.00650310 00F04742 3341 14 xor eax,dword ptr ds:[ecx+14] 00F04745 8B0D 90D5F100 mov ecx,dword ptr ds:[F1D590] ; JuBa.00650310 00F0474B 3341 3C xor eax,dword ptr ds:[ecx+3C] 00F0474E 8B0D 90D5F100 mov ecx,dword ptr ds:[F1D590] ; JuBa.00650310 00F04754 3341 58 xor eax,dword ptr ds:[ecx+58] 00F04757 3385 9CD5FFFF xor eax,dword ptr ss:[ebp-2A64] 00F0475D 50 push eax 00F0475E FFB5 D4D5FFFF push dword ptr ss:[ebp-2A2C] 2005-11-6 15:11 0
basaiyv1 雪币： 420 活跃值： (49) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 318 粉丝 1 关注私信	basaiyv1 3 楼这段不是入口点，这里只不过是修复了输入表吧 2005-11-7 00:02 0
星际雪币： 82 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 88 粉丝 0 关注私信	星际 4 楼链接已失效。 2005-11-7 07:49 0
杨长伟雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 19 粉丝 0 关注私信	杨长伟 5 楼 3楼 2005-11-07,00:02 -------------------------------------------------------------------------------- 这段不是入口点，这里只不过是修复了输入表吧按你说的那样,程序再执行一步就死掉,oep在何处; 如果是修复了输入表,为何不可向下再执行? 2005-11-7 22:02 0
杨长伟雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 19 粉丝 0 关注私信	杨长伟 6 楼图片:http://upserver5.ys168.com/ys168up/D0/?unpack for OD.bmpy72z72fdp9f9fd4z95bi7b4b5b1b2fq9bp9fl9f9f6z98e09e12e24b1f9f2fd5b0b0fd7z 程式:http://free.ys168.com:8000/ys168up/D0/?JuBa.exey70z70fdp9f9fd4z95bi7b4b5b1b2f5b0fd2b6fll6e01e20e01e24b1f9f2fd5b0b0fd7z 2005-11-7 22:04 0
pjzg 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 35 粉丝 0 关注私信	pjzg 7 楼 00F04722 A1 34D7F100 mov eax,dword ptr ds:[F1D734] 下了内存中断了运行后就停在这里,如果果不把双进程改为单程就没问题,不过也无法脱壳 00F04727 8B0D 90D5F100 mov ecx,dword ptr ds:[F1D590] ; JuBa.00650310 00F0472D 8B04B0 mov eax,dword ptr ds:[eax+esi*4] 用脱壳脚本也会停在这里 00F04730 3341 38 xor eax,dword ptr ds:[ecx+38] 00F04733 8B0D 90D5F100 mov ecx,dword ptr ds:[F1D590] ; JuBa.00650310 00F04739 3341 1C xor eax,dword ptr ds:[ecx+1C] 00F0473C 8B0D 90D5F100 mov ecx,dword ptr ds:[F1D590] ; JuBa.00650310 00F04742 3341 14 xor eax,dword ptr ds:[ecx+14] 00F04745 8B0D 90D5F100 mov ecx,dword ptr ds:[F1D590] ; JuBa.00650310 00F0474B 3341 3C xor eax,dword ptr ds:[ecx+3C] 00F0474E 8B0D 90D5F100 mov ecx,dword ptr ds:[F1D590] ; JuBa.00650310 00F04754 3341 58 xor eax,dword ptr ds:[ecx+58] 00F04757 3385 9CD5FFFF xor eax,dword ptr ss:[ebp-2A64] 00F0475D 50 push eax 00F0475E FFB5 D4D5FFFF push dword ptr ss:[ebp-2A2C] 2006-1-20 01:39 0
rockhard 雪币： 441 活跃值： (149) 能力值： ( LV9，RANK：170 ) 在线值：发帖 16 回帖 196 粉丝 2 关注私信	rockhard 4 8 楼帮你顶！这个壳搞不定呀！ 2006-1-20 10:28 0
rockhard 雪币： 441 活跃值： (149) 能力值： ( LV9，RANK：170 ) 在线值：发帖 16 回帖 196 粉丝 2 关注私信	rockhard 4 9 楼楼主是在脱新概念英语句霸4.56版?? 我也打算整个最近学学英语呢。楼主壳搞定了发个邮件给我呀wnh1@sohu.com .谢谢啦：） 2006-1-20 10:33 0
chasgone 雪币： 217 活跃值： (61) 能力值： ( LV6，RANK：90 ) 在线值：发帖 4 回帖 94 粉丝 1 关注私信	chasgone 2 10 楼就在这里dump，修改正确oep试试 2006-1-20 10:34 0
pjzg 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 35 粉丝 0 关注私信	pjzg 11 楼这在这里吗,无法调试的那里试试,能再详细解答下下吗 2006-1-20 13:43 0
pjzg 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 35 粉丝 0 关注私信	pjzg 12 楼没人关住这个问题吗 2006-1-21 02:14 0
pjzg 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 35 粉丝 0 关注私信	pjzg 13 楼双层壳,里面还有一层aspack 2006-1-22 16:42 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复