-
-
ARM壳的返回用户代码的时机问题求教[求助]
-
发表于:
2006-2-8 09:45
3685
-
近几天在论坛取经,昨天晚上自己尝试脱Armadillo 1.xx - 2.xx的壳,经过几次失败后,终于脱了一个双进程的ARM标准壳。脱虽然脱了,但有几个问题不大明白,请论坛众位高手帮忙看看
1 双进程转单进程需要下断点bp OpenMutexA,然后再401000处补欺骗代码,请问为什么要这么做?补代码的原理能否大致相告??
2 每次下完断点查看堆栈情况后要alt+f9返回,但是返回的时机应如何掌握,看到有人说只要堆栈拦2个地址在同一段就可以了,试了下,的确可以,但根据这个来判断时候有依据?
3 我在脱1个单进程的ARM壳时,下第2个断点然后一路F9运行时,竟然造成了假死的现象,任务管理器CPU占涌9%,OD动不了,鼠标动不了,这情况正常吗?我是winXP
以上问题有知道的麻烦高知一下,授之一鱼,不如授之一渔,我只是想到为什么要这么做。。。谢谢
[课程]FART 脱壳王!加量不加价!FART作者讲授!