首页
社区
课程
招聘
Armadillo v3.x脱壳问题..
发表于: 2004-4-30 10:56 6481

Armadillo v3.x脱壳问题..

2004-4-30 10:56
6481
我按照教程脱Armadillo时先isdebuggerpresent-->bp waitpordebugevent-->查堆栈,找到3个一样的0042xxxx的值-->bc waitpordebugevent-->bp writeprocessmemory-->找到破坏解密的函数并nop掉-->运行一次writedebuggerpresent-->但是在上面那个0042xxxx中没看到任何数据,而且我在writeprocessmemry中断时查堆栈,查msdn它说把数据复制到esp+8的地方,看那个oep也在这个地址不远,可是运行一次后oep那段什么dd都没有,这个问题一直解决不掉...
还有那个pupe能用这个方法代替吗:在那个oep自己改为jmp eip?
希望高手帮忙哈

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 6
支持
分享
最新回复 (2)
雪    币: 265
活跃值: (86)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
为学习而顶一次哈!
2004-4-30 20:20
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
发到脱壳版去看看,fly的双进程一次脱壳的教程看过么?
在401000断下内存断电可以直接dump出程序,利用VirtualProtect或者GetmoduleHandle可以找到magic jmp,然后get import &fix dump就可以了
2004-5-4 22:34
0
游客
登录 | 注册 方可回帖
返回
//