首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 加壳脱壳
    3. 发新帖
请教fly,Armadillo 3.78 -> Silicon Realms Toolworks为何脱不了?
发表于: 2005-11-16 16:19 4210

请教fly,Armadillo 3.78 -> Silicon Realms Toolworks为何脱不了?

木头 活跃值
2005-11-16 16:19
4210
fly
我是木头,向您请教一个问题:
我在试脱Armadillo 3.78 -> Silicon Realms Toolworks壳时,参考了论坛上的Armadillo的脱文,按照里面的步骤,脱到"第三、下GetCurrentThreadId断点 按F9运行",按了几下F9,找不到返回时机,提示出现异常,便退出.请问错在哪里,该怎样操作?
要脱的程序是双进程的.用LordPE可以看到两个相同的进程
参教的脱文是夜凉如水的:
http://bbs.pediy.com/showthread.php?threadid=14954

[课程]Android-CTF解题方法汇总!

收藏
免费 0
支持
分享
最新回复 (5)
fly
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
私信
2
首先要搞清楚是双进程标准壳还是CopyMem-II
自己用Armadillo这些选项分别加壳记事本脱一下就知道了
2005-11-16 17:01
0
木头
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
谢谢fly,及时回复!
那要如何区分双进程标准壳还是CopyMem-II?
好象论坛上的脱文有双进程的,但脱不了,会不会是CopyMem-II?
如是,可有一些脱壳的操作提示?
谢谢!
2005-11-16 17:40
0
木头
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
网上  Armadillo CopyMem-II 脱文

OD载入

0058FD93 >/$  55            push ebp
0058FD94  |.  8BEC          mov ebp,esp
0058FD96  |.  6A FF         push -1

纪录55 8B

而我的用OD载入,却是中断在
004BC000     60                       pushad//进入OD后停在这!
004BC001     E8 00000000              call MrCaptor.004BC006
004BC006     5D                       pop ebp
004BC007     50                       push eax
004BC008     51                       push ecx
004BC009     EB 0F                    jmp short MrCaptor.004BC01A

这样是双进程的加壳方式吗?
2005-11-16 17:49
0
fly
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
私信
5
CopyMem-II需要父进程解码子进程
而标准壳在切换为单进程后即可运行
2005-11-16 18:32
0
木头
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
终于脱掉了!用XP系统
单进程的可以在WIN2000下脱掉,双进程的会出错。
在XP系统下、参照fly的“Armadillo V4.X CopyMem-II脱壳――魔法转换”的脱文终于脱掉。
谢谢fly提醒!
2005-11-28 10:34
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//