Armadillo v3.x脱壳问题..-软件逆向-看雪-安全社区|安全招聘|kanxue.com

Armadillo v3.x脱壳问题..

发表于: 2004-4-30 10:56 6453

Armadillo v3.x脱壳问题..

imatc

2004-4-30 10:56

6453

我按照教程脱Armadillo时先isdebuggerpresent-->bp waitpordebugevent-->查堆栈，找到3个一样的0042xxxx的值-->bc waitpordebugevent-->bp writeprocessmemory-->找到破坏解密的函数并nop掉-->运行一次writedebuggerpresent-->但是在上面那个0042xxxx中没看到任何数据，而且我在writeprocessmemry中断时查堆栈，查msdn它说把数据复制到esp+8的地方，看那个oep也在这个地址不远，可是运行一次后oep那段什么dd都没有，这个问题一直解决不掉...
还有那个pupe能用这个方法代替吗：在那个oep自己改为jmp eip？
希望高手帮忙哈

收藏・2

免费・6

支持

最新回复 (2)
imatc 雪币： 265 活跃值： (46) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 28 粉丝 1 关注私信	imatc 2 楼为学习而顶一次哈！ 2004-4-30 20:20 0
startnet 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 1 关注私信	startnet 3 楼发到脱壳版去看看，fly的双进程一次脱壳的教程看过么？在401000断下内存断电可以直接dump出程序，利用VirtualProtect或者GetmoduleHandle可以找到magic jmp，然后get import &fix dump就可以了 2004-5-4 22:34 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

imatc

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (2)
imatc 雪币： 265 活跃值： (46) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 28 粉丝 1 关注私信	imatc 2 楼为学习而顶一次哈！ 2004-4-30 20:20 0
startnet 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 1 关注私信	startnet 3 楼发到脱壳版去看看，fly的双进程一次脱壳的教程看过么？在401000断下内存断电可以直接dump出程序，利用VirtualProtect或者GetmoduleHandle可以找到magic jmp，然后get import &fix dump就可以了 2004-5-4 22:34 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复