[求助]有关arm的壳-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (6)
kanxue 雪币： 44229 活跃值： (19955) 能力值： (RANK：350 ) 在线值：发帖 2369 回帖 17027 粉丝 528 关注私信	kanxue 8 2 楼你单步跟踪一下，看是不是code splicing保护。如确定是用ArmInline工具修复一下。 2006-5-4 11:09 0
cadcam 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 14 粉丝 0 关注私信	cadcam 3 楼这是检查出来的加密方式“CopyMem-II+Debug-Blocker” !- Protected Armadillo <Protection Options> Debug-Blocker CopyMem-II <Backup Key Options> No Registry Keys at All <Compression Options> Best/Slowest Compression od调试： 00448D5A > 55 PUSH EBP 00448D5B 8BEC MOV EBP, ESP 00448D5D 6A FF PUSH -1 00448D5F 68 40794500 PUSH d1_.00457940 00448D64 68 889B4400 PUSH d1_.00449B88 00448D69 64:A1 00000000 MOV EAX, DWORD PTR FS:[0] 00448D6F 50 PUSH EAX 00448D70 64:8925 0000000>MOV DWORD PTR FS:[0], ESP 00448D77 83EC 10 SUB ESP, 10 00448D7A 53 PUSH EBX 00448D7B 56 PUSH ESI 00448D7C 57 PUSH EDI 00448D7D 8965 E8 MOV DWORD PTR SS:[EBP-18], ESP 00448D80 FF15 3C304500 CALL DWORD PTR DS:[45303C] => 0045303C 57 9F AC 00 (就是这里出错，它指向的AC9F57不存在) 00448D86 33D2 XOR EDX, EDX 00448D88 8AD4 MOV DL, AH 00448D8A 8915 A4524900 MOV DWORD PTR DS:[4952A4], EDX 00448D90 8BC8 MOV ECX, EAX 00448D92 81E1 FF000000 AND ECX, 0FF 00448D98 890D A0524900 MOV DWORD PTR DS:[4952A0], ECX 00448D9E C1E1 08 SHL ECX, 8 00448DA1 03CA ADD ECX, EDX 00448DA3 890D 9C524900 MOV DWORD PTR DS:[49529C], ECX 00448DA9 C1E8 10 SHR EAX, 10 00448DAC A3 98524900 MOV DWORD PTR DS:[495298], EAX 00448DB1 6A 00 PUSH 0 00448DB3 E8 E9480000 CALL d1_.0044D6A1 00448DB8 59 POP ECX 00448DB9 85C0 TEST EAX, EAX 00448DBB 75 08 JNZ SHORT d1_.00448DC5 00448DBD 6A 1C PUSH 1C 00448DBF E8 9A000000 CALL d1_.00448E5E 00448DC4 59 POP ECX 00448DC5 8365 FC 00 AND DWORD PTR SS:[EBP-4], 0 00448DC9 E8 AF1A0000 CALL d1_.0044A87D 00448DCE FF15 B4314500 CALL DWORD PTR DS:[4531B4] 00448DD4 A3 A4A34900 MOV DWORD PTR DS:[49A3A4], EAX 2006-5-4 13:40 0
wangshq397 雪币： 277 活跃值： (312) 能力值： ( LV9，RANK：330 ) 在线值：发帖 59 回帖 650 粉丝 0 关注私信	wangshq397 8 4 楼输入表没有完全修复 2006-5-4 13:50 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 5 楼最初由 wangshq397* 发布* 输入表没有完全修复大概是输入表完全没有修复 2006-5-4 14:15 0
cadcam 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 14 粉丝 0 关注私信	cadcam 6 楼 ArmInline处理后还是不行看IAT表 0045302C 796E17BB advapi32.ControlService 00453030 796E799C advapi32.QueryServiceStatus 00453034 796E768A advapi32.OpenSCManagerA 00453038 00B1631F * =〉象这样的内存地址应该怎样处理？？ 0045303C 00B19F57 * 00453040 77E9DF91 KERNEL32.ClearCommError 00453044 77E9E5E9 KERNEL32.GetCommState 00453048 77E7449E KERNEL32.GetOverlappedResult 0045304C 77E71562 KERNEL32.GetOEMCP 00453050 00B19F69 * 00453054 77FCB906 ntdll.RtlSizeHeap 00453058 00B17184 * 0045305C 00B16FA1 * 00453060 77E6A8A4 KERNEL32.FreeEnvironmentStringsW 2006-5-4 23:46 0
cadcam 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 14 粉丝 0 关注私信	cadcam 7 楼谢谢以上各位大虾，首先是IAT没有修复，magic jmp搞错了但直接用imprec还是会出错的，后来用machenglin的方法用ArmInline修复在dump一次就好了。这个东西搞了我一个星期了，想不到在这里一天就搞定了，再次感谢各位的热心帮助。 2006-5-5 00:26 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (6)
kanxue 雪币： 44229 活跃值： (19955) 能力值： (RANK：350 ) 在线值：发帖 2369 回帖 17027 粉丝 528 关注私信	kanxue 8 2 楼你单步跟踪一下，看是不是code splicing保护。如确定是用ArmInline工具修复一下。 2006-5-4 11:09 0
cadcam 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 14 粉丝 0 关注私信	cadcam 3 楼这是检查出来的加密方式“CopyMem-II+Debug-Blocker” !- Protected Armadillo <Protection Options> Debug-Blocker CopyMem-II <Backup Key Options> No Registry Keys at All <Compression Options> Best/Slowest Compression od调试： 00448D5A > 55 PUSH EBP 00448D5B 8BEC MOV EBP, ESP 00448D5D 6A FF PUSH -1 00448D5F 68 40794500 PUSH d1_.00457940 00448D64 68 889B4400 PUSH d1_.00449B88 00448D69 64:A1 00000000 MOV EAX, DWORD PTR FS:[0] 00448D6F 50 PUSH EAX 00448D70 64:8925 0000000>MOV DWORD PTR FS:[0], ESP 00448D77 83EC 10 SUB ESP, 10 00448D7A 53 PUSH EBX 00448D7B 56 PUSH ESI 00448D7C 57 PUSH EDI 00448D7D 8965 E8 MOV DWORD PTR SS:[EBP-18], ESP 00448D80 FF15 3C304500 CALL DWORD PTR DS:[45303C] => 0045303C 57 9F AC 00 (就是这里出错，它指向的AC9F57不存在) 00448D86 33D2 XOR EDX, EDX 00448D88 8AD4 MOV DL, AH 00448D8A 8915 A4524900 MOV DWORD PTR DS:[4952A4], EDX 00448D90 8BC8 MOV ECX, EAX 00448D92 81E1 FF000000 AND ECX, 0FF 00448D98 890D A0524900 MOV DWORD PTR DS:[4952A0], ECX 00448D9E C1E1 08 SHL ECX, 8 00448DA1 03CA ADD ECX, EDX 00448DA3 890D 9C524900 MOV DWORD PTR DS:[49529C], ECX 00448DA9 C1E8 10 SHR EAX, 10 00448DAC A3 98524900 MOV DWORD PTR DS:[495298], EAX 00448DB1 6A 00 PUSH 0 00448DB3 E8 E9480000 CALL d1_.0044D6A1 00448DB8 59 POP ECX 00448DB9 85C0 TEST EAX, EAX 00448DBB 75 08 JNZ SHORT d1_.00448DC5 00448DBD 6A 1C PUSH 1C 00448DBF E8 9A000000 CALL d1_.00448E5E 00448DC4 59 POP ECX 00448DC5 8365 FC 00 AND DWORD PTR SS:[EBP-4], 0 00448DC9 E8 AF1A0000 CALL d1_.0044A87D 00448DCE FF15 B4314500 CALL DWORD PTR DS:[4531B4] 00448DD4 A3 A4A34900 MOV DWORD PTR DS:[49A3A4], EAX 2006-5-4 13:40 0
wangshq397 雪币： 277 活跃值： (312) 能力值： ( LV9，RANK：330 ) 在线值：发帖 59 回帖 650 粉丝 0 关注私信	wangshq397 8 4 楼输入表没有完全修复 2006-5-4 13:50 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 5 楼最初由 wangshq397* 发布* 输入表没有完全修复大概是输入表完全没有修复 2006-5-4 14:15 0
cadcam 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 14 粉丝 0 关注私信	cadcam 6 楼 ArmInline处理后还是不行看IAT表 0045302C 796E17BB advapi32.ControlService 00453030 796E799C advapi32.QueryServiceStatus 00453034 796E768A advapi32.OpenSCManagerA 00453038 00B1631F * =〉象这样的内存地址应该怎样处理？？ 0045303C 00B19F57 * 00453040 77E9DF91 KERNEL32.ClearCommError 00453044 77E9E5E9 KERNEL32.GetCommState 00453048 77E7449E KERNEL32.GetOverlappedResult 0045304C 77E71562 KERNEL32.GetOEMCP 00453050 00B19F69 * 00453054 77FCB906 ntdll.RtlSizeHeap 00453058 00B17184 * 0045305C 00B16FA1 * 00453060 77E6A8A4 KERNEL32.FreeEnvironmentStringsW 2006-5-4 23:46 0
cadcam 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 14 粉丝 0 关注私信	cadcam 7 楼谢谢以上各位大虾，首先是IAT没有修复，magic jmp搞错了但直接用imprec还是会出错的，后来用machenglin的方法用ArmInline修复在dump一次就好了。这个东西搞了我一个星期了，想不到在这里一天就搞定了，再次感谢各位的热心帮助。 2006-5-5 00:26 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复