首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 加壳脱壳
    3. 发新帖
学习Armadillo的问题
发表于: 2006-8-31 14:36 3790

学习Armadillo的问题

plazhaofen 活跃值
2006-8-31 14:36
3790
我照着网上的教程学习,可是在操作中返回信息却和教程中不一样,比如:
教程中说下断点BP GetModuleHandleA+5后shift+F9。堆栈变化为:
011EF168  /011EF7C0
  011EF16C  |7C822B47  返回到 kernel32.7C822B47 来自 kernel32.GetModuleHandleA
  011EF170  |00000000
  011EF174  |7C822B8F  返回到 kernel32.7C822B8F 来自 kernel32.7C822B40
  
  011EF73C  /011EF858
  011EF740  |4C52D4A7  返回到 msctfime.4C52D4A7 来自 kernel32.GetModuleHandleA
  011EF744  |011EF748  ASCII "I:\WINDOWS\system32\ntdll.dll"
  
  0012F710   0012F778
  0012F714   008008F3  返回到 FVStudio.008008F3 来自 kernel32.GetModuleHandleA
  0012F718   00000000
  0012F71C   7C82B3C8  返回到 kernel32.7C82B3C8 来自 ntdll.ZwOpenMutant
  
  001294FC  /0012EC44
  00129500  |01217105  返回到 01217105 来自 kernel32.GetModuleHandleA
  00129504  |0122BC1C  ASCII "kernel32.dll"
  00129508  |0122CEC4  ASCII "VirtualAlloc"
  
  001294FC  /0012EC44
  00129500  |01217122  返回到 01217122 来自 kernel32.GetModuleHandleA
  00129504  |0122BC1C  ASCII "kernel32.dll"
  00129508  |0122CEB8  ASCII "VirtualFree"
  
  00129260  /00129500
  00129264  |01205FC9  返回到 01205FC9 来自 kernel32.GetModuleHandleA
  00129268  |001293B4  ASCII "kernel32.dll"

但我的到
  001294FC  /0012EC44
  00129500  |01217122  返回到 01217122 来自 kernel32.GetModuleHandleA
  00129504  |0122BC1C  ASCII "kernel32.dll"
  00129508  |0122CEB8  ASCII "VirtualFree"
后为:
  /CALL 到 GetModuleHandleA 来自 czssgold.004B50DD
 \pModule = NULL
此处正常应返回:
00B452CA    8B0D 3C1EB700         mov ecx,dword ptr ds:[B71E3C]   <---------返回到这
00B452D0    89040E                mov dword ptr ds:[esi+ecx],eax
00B452D3    A1 3C1EB700           mov eax,dword ptr ds:[B71E3C]
00B452D8    391C06                cmp dword ptr ds:[esi+eax],ebx
00B452DB    75 16                 jnz short 00B452F3
00B452DD    8D85 B4FEFFFF         lea eax,dword ptr ss:[ebp-14C]
00B452E3    50                    push eax
00B452E4    FF15 B842B600         call dword ptr ds:[B642B8]        ; kernel32.LoadLibraryA
00B452EA    8B0D 3C1EB700         mov ecx,dword ptr ds:[B71E3C]
00B452F0    89040E                mov dword ptr ds:[esi+ecx],eax
00B452F3    A1 3C1EB700           mov eax,dword ptr ds:[B71E3C]
00B452F8    391C06                cmp dword ptr ds:[esi+eax],ebx
00B452FB    0F84 2F010000         je 00B45430 <--------------MAGICJUMP,改JMP 00B45430
00B45301    33C9                  xor ecx,ecx
00B45303    8B07                  mov eax,dword ptr ds:[edi]
00B45305    3918                  cmp dword ptr ds:[eax],ebx
00B45307    74 06                 je short 00B4530F
我的也不是。我试到所有网上教程都是这样。请大家帮帮我

[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法

收藏
免费 0
支持
分享
最新回复 (6)
酷酷
雪    币: 201
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
GetModuleHandleA
的返回时机,你可以试着每次都Ctrl + F9 返回,看代码是否到达魔法跳转,直到程序结束

返回时机,并不是每个程序都一样的
2006-8-31 14:44
0
andyxie
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
请问有没有打开内存镜像下断?
2006-8-31 16:33
0
sharkyc
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
我也这样问题 不会怎么下面了
2006-8-31 17:46
0
plazhaofen
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
我每次都ALT+F9试过了,还是不行
2006-8-31 22:03
0
fly
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
私信
6
标准壳?
试试脱壳脚本
或者使用dilloDIE脱壳机
2006-9-1 09:20
0
心善渊
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
我也出现过这个问题,后来改成硬件中断he GetModuleHandleA后就OK了
2006-9-19 17:24
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//