Armadillo 3.78 - 4.xx -> Silicon Realms Toolworks脱壳-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (15)
kanxue 雪币： 47147 活跃值： (20380) 能力值： (RANK：350 ) 在线值：发帖 2374 回帖 17045 粉丝 538 关注私信	kanxue 8 2 楼不要将断点设在OpenMutexA第一字节处，可以用bp OpenMutexA+5之类方式设。 GetModuleHandleA也是这种情况，Armadillo 检测到你下断了。 2006-1-6 17:39 0
wangsixin 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	wangsixin 3 楼没懂什么意思，能显示讲讲过程吗，感谢坛主 2006-1-6 17:41 0
kanxue 雪币： 47147 活跃值： (20380) 能力值： (RANK：350 ) 在线值：发帖 2374 回帖 17045 粉丝 538 关注私信	kanxue 8 4 楼最初由 wangsixin 发布没懂什么意思，能显示讲讲过程吗，感谢坛主 7C80B529 kernel32.GetModuleHandleA 8BFF mov edi, edi //一般情况将断点下在第一字节 7C80B52B 55 push ebp 7C80B52C 8BEC mov ebp, esp 7C80B52E 837D 08 00 cmp dword ptr [ebp+8], 0 7C80B532 74 18 je short 7C80B54C 7C80B534 FF75 08 push dword ptr [ebp+8] 你下的断点其实一个INT 3指令，机器码是0xCC，OD会隐藏这个INT 3指令，还是用原来的指令显示给你看。外壳会检测一些函数的第一字节是否为0xCC，如是就认为你下断点了。所以你将断点不要下在第一行就能躲过外壳的检测。例如： 7C80B529 kernel32.GetModuleHandleA 8BFF mov edi, edi 7C80B52B 55 push ebp //可以下在这，以躲过检测 7C80B52C 8BEC mov ebp, esp 7C80B52E 837D 08 00 cmp dword ptr [ebp+8], 0 7C80B532 74 18 je short 7C80B54C 7C80B534 FF75 08 push dword ptr [ebp+8] 2006-1-6 17:59 0
zhupf 雪币： 306 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 99 粉丝 0 关注私信	zhupf 5 楼我菜，但这个基础知识在加密解密2上就介绍了。 2006-1-6 19:56 0
wangsixin 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	wangsixin 6 楼收到，感谢！我去试试 2006-1-6 22:46 0
wangsixin 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	wangsixin 7 楼试过了，提示错误：不知道如何在地址XXXXXXX处绕过命令。请尝试更改EIP或跳过异常执行程序！又是怎么搞的呀！谢谢回帖 2006-1-6 23:15 0
wangsixin 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	wangsixin 8 楼没人知道吗？？？ 2006-1-10 09:02 0
cyc703 雪币： 421 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 40 粉丝 0 关注私信	cyc703 9 楼观察学习中期待问题的解决。。。。 2006-1-10 09:46 0
wynney 雪币： 224 活跃值： (147) 能力值： ( LV9，RANK：970 ) 在线值：发帖 65 回帖 1109 粉丝 7 关注私信	wynney 24 10 楼算了还是回答下吧把XXXXXXX添加到指定异常里面去就可以了 2006-1-10 10:16 0
wynney 雪币： 224 活跃值： (147) 能力值： ( LV9，RANK：970 ) 在线值：发帖 65 回帖 1109 粉丝 7 关注私信	wynney 24 11 楼提示什么地址异常就添加什么 2006-1-10 10:19 0
vampire 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 16 回帖 147 粉丝 0 关注私信	vampire 12 楼最初由 wynney 发布提示什么地址异常就添加什么我试了。不可以. 2006-2-1 09:26 0
wangshq397 雪币： 277 活跃值： (312) 能力值： ( LV9，RANK：330 ) 在线值：发帖 59 回帖 650 粉丝 0 关注私信	wangshq397 8 13 楼 SHIFT+F9 2006-2-1 10:33 0
寂静如风雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 219 粉丝 0 关注私信	寂静如风 14 楼楼主　你运气不错，看老大回答了你的问题，我发的帖子他看都不看的，郁闷中！ 2006-2-2 16:14 0
playx 雪币： 146 活跃值： (72) 能力值： ( LV4，RANK：50 ) 在线值：发帖 25 回帖 445 粉丝 0 关注私信	playx 1 15 楼最初由寂静如风发布楼主　你运气不错，看老大回答了你的问题，我发的帖子他看都不看的，郁闷中！呵呵，菜鸟脱猛壳，老大当然要支持一下啦~~ 2006-2-2 19:40 0
cnnets 雪币： 458 活跃值： (36) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 251 粉丝 0 关注私信	cnnets 16 楼看了N个教程序，对这种壳就是搞不掂。 2006-2-3 21:14 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (15)
kanxue 雪币： 47147 活跃值： (20380) 能力值： (RANK：350 ) 在线值：发帖 2374 回帖 17045 粉丝 538 关注私信	kanxue 8 2 楼不要将断点设在OpenMutexA第一字节处，可以用bp OpenMutexA+5之类方式设。 GetModuleHandleA也是这种情况，Armadillo 检测到你下断了。 2006-1-6 17:39 0
wangsixin 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	wangsixin 3 楼没懂什么意思，能显示讲讲过程吗，感谢坛主 2006-1-6 17:41 0
kanxue 雪币： 47147 活跃值： (20380) 能力值： (RANK：350 ) 在线值：发帖 2374 回帖 17045 粉丝 538 关注私信	kanxue 8 4 楼最初由 wangsixin 发布没懂什么意思，能显示讲讲过程吗，感谢坛主 7C80B529 kernel32.GetModuleHandleA 8BFF mov edi, edi //一般情况将断点下在第一字节 7C80B52B 55 push ebp 7C80B52C 8BEC mov ebp, esp 7C80B52E 837D 08 00 cmp dword ptr [ebp+8], 0 7C80B532 74 18 je short 7C80B54C 7C80B534 FF75 08 push dword ptr [ebp+8] 你下的断点其实一个INT 3指令，机器码是0xCC，OD会隐藏这个INT 3指令，还是用原来的指令显示给你看。外壳会检测一些函数的第一字节是否为0xCC，如是就认为你下断点了。所以你将断点不要下在第一行就能躲过外壳的检测。例如： 7C80B529 kernel32.GetModuleHandleA 8BFF mov edi, edi 7C80B52B 55 push ebp //可以下在这，以躲过检测 7C80B52C 8BEC mov ebp, esp 7C80B52E 837D 08 00 cmp dword ptr [ebp+8], 0 7C80B532 74 18 je short 7C80B54C 7C80B534 FF75 08 push dword ptr [ebp+8] 2006-1-6 17:59 0
zhupf 雪币： 306 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 99 粉丝 0 关注私信	zhupf 5 楼我菜，但这个基础知识在加密解密2上就介绍了。 2006-1-6 19:56 0
wangsixin 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	wangsixin 6 楼收到，感谢！我去试试 2006-1-6 22:46 0
wangsixin 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	wangsixin 7 楼试过了，提示错误：不知道如何在地址XXXXXXX处绕过命令。请尝试更改EIP或跳过异常执行程序！又是怎么搞的呀！谢谢回帖 2006-1-6 23:15 0
wangsixin 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	wangsixin 8 楼没人知道吗？？？ 2006-1-10 09:02 0
cyc703 雪币： 421 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 40 粉丝 0 关注私信	cyc703 9 楼观察学习中期待问题的解决。。。。 2006-1-10 09:46 0
wynney 雪币： 224 活跃值： (147) 能力值： ( LV9，RANK：970 ) 在线值：发帖 65 回帖 1109 粉丝 7 关注私信	wynney 24 10 楼算了还是回答下吧把XXXXXXX添加到指定异常里面去就可以了 2006-1-10 10:16 0
wynney 雪币： 224 活跃值： (147) 能力值： ( LV9，RANK：970 ) 在线值：发帖 65 回帖 1109 粉丝 7 关注私信	wynney 24 11 楼提示什么地址异常就添加什么 2006-1-10 10:19 0
vampire 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 16 回帖 147 粉丝 0 关注私信	vampire 12 楼最初由 wynney 发布提示什么地址异常就添加什么我试了。不可以. 2006-2-1 09:26 0
wangshq397 雪币： 277 活跃值： (312) 能力值： ( LV9，RANK：330 ) 在线值：发帖 59 回帖 650 粉丝 0 关注私信	wangshq397 8 13 楼 SHIFT+F9 2006-2-1 10:33 0
寂静如风雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 219 粉丝 0 关注私信	寂静如风 14 楼楼主　你运气不错，看老大回答了你的问题，我发的帖子他看都不看的，郁闷中！ 2006-2-2 16:14 0
playx 雪币： 146 活跃值： (72) 能力值： ( LV4，RANK：50 ) 在线值：发帖 25 回帖 445 粉丝 0 关注私信	playx 1 15 楼最初由寂静如风发布楼主　你运气不错，看老大回答了你的问题，我发的帖子他看都不看的，郁闷中！呵呵，菜鸟脱猛壳，老大当然要支持一下啦~~ 2006-2-2 19:40 0
cnnets 雪币： 458 活跃值： (36) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 251 粉丝 0 关注私信	cnnets 16 楼看了N个教程序，对这种壳就是搞不掂。 2006-2-3 21:14 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复