首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 加壳脱壳
    3. 发新帖
关于Armadillo脱壳的问题!
发表于: 2006-5-20 11:46 3898

关于Armadillo脱壳的问题!

samlylee 活跃值
2006-5-20 11:46
3898
昨天在脱Armadillo壳的时候出现问题,无论在任何位置,只要执行Ctrl+f9或F9指令运行的时候总会跳转到一个固定位置,望高手指点:

用PEIid 0.94查壳是Armadillo 3.78 - 4.xx -> Silicon Realms Toolworks

用OD载入是在这个位置:
004A4000 >  60              PUSHAD
004A4001    E8 00000000     CALL ACSrv.004A4006
004A4006    5D              POP EBP
004A4007    50              PUSH EAX
004A4008    51              PUSH ECX
004A4009    0FCA            BSWAP EDX
004A400B    F7D2            NOT EDX
004A400D    9C              PUSHFD
004A400E    F7D2            NOT EDX
004A4010    0FCA            BSWAP EDX
004A4012    EB 0F           JMP SHORT ACSrv.004A4023
004A4014    B9 EB0FB8EB     MOV ECX,EBB80FEB
004A4019    07              POP ES                                   ; 段寄存器更改
004A401A    B9 EB0F90EB     MOV ECX,EB900FEB
004A401F    08FD            OR CH,BH
004A4021    EB 0B           JMP SHORT ACSrv.004A402E
004A4023    F2:             PREFIX REPNE:                            ; 多余的前缀
004A4024  ^ EB F5           JMP SHORT ACSrv.004A401B
004A4026  ^ EB F6           JMP SHORT ACSrv.004A401E
004A4028    F2:             PREFIX REPNE:                            ; 多余的前缀
004A4029    EB 08           JMP SHORT ACSrv.004A4033
004A402B    FD              STD
004A402C  ^ EB E9           JMP SHORT ACSrv.004A4017
004A402E    F3:             PREFIX REP:                              ; 多余的前缀
004A402F  ^ EB E4           JMP SHORT ACSrv.004A4015
004A4031    FC              CLD
004A4032  - E9 9D0FC98B     JMP 8C134FD4
004A4037    CA F7D1         RETF 0D1F7                               ; 远返回

然后执行Ctrl+f9的时候跳转到这个位置,而且每次执行都是这样:
004AD5C3    F0:             PREFIX LOCK:                             ; 多余的前缀
004AD5C4    F0:C7           ???                                      ; 未知命令
004AD5C6    C8 64678F       ENTER 6764,8F
004AD5CA    06              PUSH ES
004AD5CB    0000            ADD BYTE PTR DS:[EAX],AL
004AD5CD    83C4 04         ADD ESP,4
004AD5D0    C3              RETN
004AD5D1    03C5            ADD EAX,EBP
004AD5D3    C3              RETN
004AD5D4    B9 EA7A0000     MOV ECX,7AEA
004AD5D9    C3              RETN
004AD5DA    B8 661A0000     MOV EAX,1A66
004AD5DF    C3              RETN
004AD5E0    D800            FADD DWORD PTR DS:[EAX]
004AD5E2    0000            ADD BYTE PTR DS:[EAX],AL
004AD5E4    DA95 0000D195   FICOM DWORD PTR SS:[EBP+95D10000]
004AD5EA    0000            ADD BYTE PTR DS:[EAX],AL
004AD5EC    D4 95           AAM 95
004AD5EE    0000            ADD BYTE PTR DS:[EAX],AL
004AD5F0    50              PUSH EAX
004AD5F1    95              XCHG EAX,EBP
004AD5F2    0000            ADD BYTE PTR DS:[EAX],AL
004AD5F4    05 00000080     ADD EAX,80000000

盼高手指导!!我的QQ:67668091

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (3)
samlylee
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
晕,都没人知道的吗?我自己顶!
2006-5-20 13:29
0
kanxue
雪    币: 44229
活跃值: (19965)
能力值: (RANK:350 )
在线值:
发帖
回帖
粉丝
私信
3
最初由 samlylee 发布
晕,都没人知道的吗?我自己顶!


你的问题太笼统
首先你得判断这个Armadillo是单线程还是双线程,然后再采取相应的措施跟踪。

你将下面的文章看一篇,保证你能拿下Armadillo:

试玩armadillo3.50a一点心得 (基础知识)

Armadillo COPYMEMEII之DUMP的一个LOADPE小插件 (利用插件Dump取COPYMEMEII保护的程序)
Armadillo 3.6主程序脱壳   (Dump取COPYMEMEII保护的程序另一方法)

Patch 修复 Armadillo 的IAT乱序 (处理IAT乱序)

Armadillo中code splicing的几种处理方法 (手工修复Code Splicing)
Armadillo客户版Code Splicing+Import (利用ArmInline工具修复Code Splicing)

浅谈Armadillo V.3.75 与 V.3.78的保护 (Nanomites原理概念,即CC保护)
Blaze Media Pro5.05脱壳+基本修复CC(int3)+破解 (修复CC)
Armadillo V4.40主程序脱壳 (目前处理CC很好的一个方法)
2006-5-20 13:34
0
samlylee
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
谢谢老兄啦,资料丰富,不过我的是单进程的,我再研究研究,很久没脱过壳了,技术落后啦!
2006-5-20 13:38
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//