首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 加壳脱壳
    3. 发新帖
请高手指点脱Armadillo的壳
发表于: 2006-4-18 17:18 4265

请高手指点脱Armadillo的壳

szmmyz 活跃值
2006-4-18 17:18
4265
【保护方式】:注册码 + 30次试用限制

【加密保护】:用PEID查是Armadillo 1.xx - 2.xx -> Silicon Realms Toolworks的壳,但用FI查报是Armadillo 3.7 这个程序运行之后有两个进程,应该是Armadillo的双进程。

【调试环境】:WinXP SP2、PEiD、Ollydbg、LordPE、ImportREC

【脱壳过程】:

    分离父进程后,取消以前所有的断点,下断:BP GetModuleHandleA 然后F9运行,出现以下的堆栈变化,但我一直找不到返回的时机,请各位高手指点指点。

0012EC6C   5D175394  /CALL 到 GetModuleHandleA 来自 5D17538E
0012EC70   5D1753E0  \pModule = "kernel32.dll"

0012ED2C   77F45BD8  /CALL 到 GetModuleHandleA 来自 SHLWAPI.77F45BD2
0012ED30   77F4501C  \pModule = "KERNEL32.DLL"
0012ED34   00000001
0012ED38   77F40000  SHLWAPI.77F40000
0012ED3C   00000000

0012F540   009EDE03  /CALL 到 GetModuleHandleA 来自 GraspSin.009EDDFD
0012F544   00000000  \pModule = NULL

0012BB18   0120F613  /CALL 到 GetModuleHandleA 来自 0120F60D
0012BB1C   01220B58  \pModule = "kernel32.dll"
0012BB20   01221BB4  ASCII "VirtualAlloc"

0012BB18   0120F630  /CALL 到 GetModuleHandleA 来自 0120F62A
0012BB1C   01220B58  \pModule = "kernel32.dll"
0012BB20   01221BA8  ASCII "VirtualFree"

0012EA58   01218666  /CALL 到 GetModuleHandleA 来自 01218660
0012EA5C   00000000  \pModule = NULL

0012EA8C   012182B7  /CALL 到 GetModuleHandleA 来自 012182B5
0012EA90   00000000  \pModule = NULL

0012DCF0   37221B47  /CALL 到 GetModuleHandleA 来自 CnsMin.37221B41
0012DCF4   003A7AE8  \pModule = "kernel32.dll"

0012D63C   74683BEE  /CALL 到 GetModuleHandleA 来自 74683BE8
0012D640   0012D644  \pModule = "D:\WINDOWS\system32\ntdll.dll"

0012D644   74683BEE  /CALL 到 GetModuleHandleA 来自 74683BE8
0012D648   0012D64C  \pModule = "D:\WINDOWS\system32\imm32.dll"

0012D590   74683BEE  /CALL 到 GetModuleHandleA 来自 74683BE8
0012D594   0012D598  \pModule = "D:\WINDOWS\system32\KERNEL32"

0012D734   766A0D77  /CALL 到 GetModuleHandleA 来自 WININET.766A0D71
0012D738   766A0D84  \pModule = "shlwapi.dll"
0012D73C   766A0D90  ASCII "DelayLoadFailureHook"
0012D740   766A1215  返回到 WININET.766A1215 来自 WININET.766A0D67
0012D744   76680000  WININET.76680000

0012D728   76684F17  /CALL 到 GetModuleHandleA 来自 WININET.76684F11
0012D72C   7668171C  \pModule = "KERNEL32"

0012E1C0   7365D4A4  /CALL 到 GetModuleHandleA 来自 7365D49E
0012E1C4   0012E1C8  \pModule = "D:\WINDOWS\system32\ntdll.dll"

0012EA8C   012183BF  /CALL 到 GetModuleHandleA 来自 012183BD
0012EA90   00000000  \pModule = NULL

0012EA8C   0121841F  /CALL 到 GetModuleHandleA 来自 0121841D
0012EA90   00000000  \pModule = NULL

0012EA8C   01218549  /CALL 到 GetModuleHandleA 来自 01218543
0012EA90   00000000  \pModule = NULL

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (9)
linex
雪    币: 279
活跃值: (145)
能力值: ( LV9,RANK:290 )
在线值:
发帖
回帖
粉丝
私信
2
0012DCF0   37221B47  /CALL 到 GetModuleHandleA 来自 CnsMin.37221B41
0012DCF4   003A7AE8  \pModule = "kernel32.dll"
这里返回不行吗?
2006-4-18 17:19
0
szmmyz
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
不行,找不到入口点.
2006-4-18 17:53
0
skyege
雪    币: 229
活跃值: (70)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
私信
4
   入口 ? magic jmp ?
2006-4-18 18:43
0
blueleaf
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
用fly的脚本
2006-4-18 20:50
0
luzhmu
雪    币: 86
活跃值: (1163)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
下HE GetModuleHandleA断点
2006-4-18 21:34
0
冷血书生
雪    币: 443
活跃值: (200)
能力值: ( LV9,RANK:1140 )
在线值:
发帖
回帖
粉丝
私信
7
目标是哪个?
2006-4-18 21:35
0
szmmyz
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
管家婆辉煌版 v9.0 Buld 9.0.1.189

ftp://cccc@ccc.crackyu.com/2004/jc/2jhh901189.rar
2006-4-19 09:13
0
black1hero
雪    币: 202
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
9
0012EA58   01218666  /CALL 到 GetModuleHandleA 来自 01218660
0012EA5C   00000000  \pModule = NULL

这步返回
2006-4-20 13:40
0
cuixiaobin
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
10
用一位网友所教的方法对有key保护的双进程Armadillo 3.7壳程序处理时,通过输入其它机器上生成的正确key和截取自己本地机器的硬件序列号, 程序已经提示输入的key为合法且已经保存,但重启动程序时,提示保存的信息可能非法,要求重新输入,不知道该如何解决.
2006-4-20 19:18
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//