-
-
[讨论]脱Armadillo3.XX的非标准壳
-
发表于:
2006-8-15 17:28
5020
-
这段时间正脱一个被误报的Armadillo壳,我确认是3.XX的非标准双进程壳.
大家也可以尝试下载Webstress V7 来进行练习.我发现这个Armadillo壳很特别.
加壳判断如下:
<------- 15-08-2006 17:11:19 ------->
C:\Program Files\Webserver Stress Tool 7\webstress7.exe
!- Protected Armadillo
?- Signature = 2CD054B0
Protection system (Professional)
!- <Protection Options>
Debug-Blocker
Enable Strategic Code Splicing
Enable Nanomites Processing
!- <Backup Key Options>
Variable Backup Keys
!- <Compression Options>
Minimal/Fastest Compression
!- <Other Options>
Disable Monitoring Thread
我按照前辈的经验进入 入口点,使用正确的使用了ArmInline v0.96f对Strategic Code Splicing进行修复.
修复完之后,我就使用LordPE DLX进行修复镜像并dump full ,然后用ImportREC修复IAT.结果修复之后,程序是无法使用.
我还发现一个问题, 我进入了入口点之后, 清除所有断点,然后F9运行,结果出现异常,这样的问题一般在什么情况下产生呢????
[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法