首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 加壳脱壳
    3. 发新帖
脱Armadillo 1.xx - 2.xx双进程壳的问题
发表于: 2006-9-15 09:57 3294

脱Armadillo 1.xx - 2.xx双进程壳的问题

zscj 活跃值
2006-9-15 09:57
3294
用PEID 查壳的类型为
Armadillo 1.xx - 2.xx -> Silicon Realms Toolworks
根据论坛的文章先下BP OpenMutexA再运行
转到401000修改代码
00401000    60              PUSHAD
00401001    9C              PUSHFD
00401002    68 DCFB1200     PUSH 12DDE0
00401007    33C0            XOR EAX,EAX
00401009    50              PUSH EAX
0040100A    50              PUSH EAX
0040100B    E8 687BA677     CALL KERNEL32.CreateMutexA
00401010    9D              POPFD
00401011    61              POPAD
00401012  - E9 75C7A677     JMP KERNEL32.OpenMutexA
建 Eip, F9,运行,再次中断在这里,此时Ctrl+G 401000 撤销刚才的修改
下bp GetModuleHandleA
F9运行.
我的问题出来了..我一F9程序就运行了?
请大侠们帮帮忙..

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (1)
fly
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
私信
2
http://bbs.pediy.com/showthread.php?s=&threadid=31944
第三楼
2006-9-15 10:07
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//