首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 加壳脱壳
    3. 发新帖
Armadillo 2.5x 的 一个怪壳!
发表于: 2005-11-25 11:05 3731

Armadillo 2.5x 的 一个怪壳!

aaa2520 活跃值
1
2005-11-25 11:05
3731
功力太差,崩溃了,脱了一个星期,论坛里的帖子都看过了,还是不行,
按照非标准6次断点法
dump出来的东西 不象
调试dump,找RAV

跟踪到出错的地方
004066F4    FF25 5C31450>jmp dword ptr ds:[145315C]
004066FA    8BC0         mov eax,eax
004066FC    FF25 0435450>jmp dword ptr ds:[1453504]
00406702    8BC0         mov eax,eax
00406704    FF25 D830450>jmp dword ptr ds:[14530D8]
0040670A    8BC0         mov eax,eax
0040670C    FF25 C838450>jmp dword ptr ds:[14538C8]

这是不是说明 dump出来的东西不对啊?
我就是按照六次断点法
1)找oep
找 or eax ,fffffff8
pacth

inc dword ptr ss:[12cd7c]
mov dword ptr ds:[5c27bc+4],1
jmp 59611A

0059611A   > \83BD D0F5F>cmp dword ptr ss:[ebp-A30],0  //关键点
00596121   .  0F8C A9020>jl SST.005963D0
00596127   .  8B8D D0F5F>mov ecx,dword ptr ss:[ebp-A30]
0059612D   .  3B0D BC275>cmp ecx,dword ptr ds:[5C27BC]
00596133   .  0F8D 97020>jge SST.005963D0
00596139   .  8B95 44F6F>mov edx,dword ptr ss:[ebp-9BC]
0059613F   .  81E2 FF000>and edx,0FF
00596145   .  85D2       test edx,edx
00596147   .  0F84 AD000>je SST.005961FA
0059614D   .  6A 00      push 0
0059614F   .  8BB5 D0F5F>mov esi,dword ptr ss:[ebp-A30]
00596155   .  C1E6 04    shl esi,4
00596158   .  8B85 D0F5F>mov eax,dword ptr ss:[ebp-A30]
0059615E   .  25 0700008>and eax,80000007
00596163   .  79 05      jns short SST.0059616A
00596165   .  48         dec eax
00596166   .  83C8 F8    or eax,FFFFFFF8
00596169   .  40         inc eax
0059616A   >  33C9       xor ecx,ecx
0059616C   .  8A88 2C085>mov cl,byte ptr ds:[eax+5C082C]
00596172   .  8B95 D0F5F>mov edx,dword ptr ss:[ebp-A30]
00596178   .  81E2 07000>and edx,80000007
0059617E   .  79 05      jns short SST.00596185
00596180   .  4A         dec edx
00596181   .  83CA F8    or edx,FFFFFFF8
00596184   .  42         inc edx
00596185   >  33C0       xor eax,eax
00596187   .  8A82 2D085>mov al,byte ptr ds:[edx+5C082D]
0059618D   .  8B3C8D A0C>mov edi,dword ptr ds:[ecx*4+5BC>
00596194   .  333C85 A0C>xor edi,dword ptr ds:[eax*4+5BC>
0059619B   .  8B8D D0F5F>mov ecx,dword ptr ss:[ebp-A30]
005961A1   .  81E1 07000>and ecx,80000007
005961A7   .  79 05      jns short SST.005961AE
005961A9   .  49         dec ecx
005961AA   .  83C9 F8    or ecx,FFFFFFF8
005961AD   .  41         inc ecx
005961AE   >  33D2       xor edx,edx
005961B0   .  8A91 2E085>mov dl,byte ptr ds:[ecx+5C082E]
005961B6   .  333C95 A0C>xor edi,dword ptr ds:[edx*4+5BC>
005961BD   .  8B85 D0F5F>mov eax,dword ptr ss:[ebp-A30]
005961C3   .  99         cdq
005961C4   .  B9 1C00000>mov ecx,1C
005961C9   .  F7F9       idiv ecx
005961CB   .  8BCA       mov ecx,edx
005961CD   .  D3EF       shr edi,cl
005961CF   .  83E7 0F    and edi,0F
005961D2   .  03F7       add esi,edi
005961D4   .  8B15 AC275>mov edx,dword ptr ds:[5C27AC]
005961DA   .  8D04B2     lea eax,dword ptr ds:[edx+esi*4>
005961DD   .  50         push eax
005961DE   .  8B8D D0F5F>mov ecx,dword ptr ss:[ebp-A30]
005961E4   .  51         push ecx
005961E5   .  E8 1021000>call SST.005982FA
005961EA   .  83C4 0C    add esp,0C
005961ED   .  25 FF00000>and eax,0FF  // 修正 这个
005961F2   .  85C0       test eax,eax

不知道问题在哪里
这个壳果然厉害!!
大虾帮忙看看

软件已经有key,word里面有key! 下载地址
http://www.siediyer.com/Tools/Mobile/SST531.rar

[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法

收藏
免费 0
支持
分享
最新回复 (2)
aaa2520
雪    币: 156
活跃值: (48)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
2
老大们,提示提示啊!
2005-11-26 17:06
0
fly
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
私信
3
最初由 aaa2520 发布
功力太差,崩溃了,脱了一个星期,论坛里的帖子都看过了,还是不行


都看过,只看有何用?
Armadillo CopyMem-II + Code.Splicing + Import Table Elimination
2005-11-26 19:03
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//