-
-
关于一个ARM壳的修复问题
-
发表于:
2006-6-29 06:36
3943
-
小弟近日调试一程式.ARM3X带KEY壳.已成功脱了.运行基本没有问题,但修复那里.缺少了一个MESSAGEBOX,造成凡是调用这个API的全都完蛋
00C2A548 B9 05000000 mov ecx,5
00C2A54D 803A CC cmp byte ptr ds:[edx],0CC
00C2A550 74 10 je short 00C2A562
00C2A552 ^ E2 F9 loopd short 00C2A54D
00C2A554 FF75 14 push dword ptr ss:[ebp+14]
00C2A557 FF75 10 push dword ptr ss:[ebp+10]
00C2A55A FF75 0C push dword ptr ss:[ebp+C]
00C2A55D FF75 08 push dword ptr ss:[ebp+8]
00C2A560 FFD2 call edx ; USER32.MessageBoxA//带壳的能正常读取.脱壳的EDX地址是0000000
00C2A562 8945 FC mov dword ptr ss:[ebp-4],eax
从区段里看.主程式是在4000000里面的.怎么跑回壳里面拿的?
里面有7个无效指针.我在ImportREC处正接剪切指针.造成凡是弹出消息无效
如果更改为MESSAGEBOX.还程式都运行不了.
像这样应该怎么补回缺少了的MESSAGEBOX.带壳的程式是没有问题的.
文件下载地址
http://www2.pc2n.com/other/2006/6/29/rar/30056-1151533777030.rar
[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法
