脱Armadillo 1.xx - 2.xx双进程壳的问题-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

脱Armadillo 1.xx - 2.xx双进程壳的问题

发表于: 2006-9-15 09:57 3211

脱Armadillo 1.xx - 2.xx双进程壳的问题

zscj

2006-9-15 09:57

3211

用PEID 查壳的类型为
Armadillo 1.xx - 2.xx -> Silicon Realms Toolworks
根据论坛的文章先下BP OpenMutexA再运行
转到401000修改代码
00401000 60             PUSHAD
00401001 9C             PUSHFD
00401002 68 DCFB1200    PUSH 12DDE0
00401007 33C0          XOR EAX,EAX
00401009 50             PUSH EAX
0040100A 50             PUSH EAX
0040100B E8 687BA677    CALL KERNEL32.CreateMutexA
00401010 9D             POPFD
00401011 61             POPAD
00401012  - E9 75C7A677    JMP KERNEL32.OpenMutexA
建 Eip, F9，运行，再次中断在这里，此时Ctrl+G 401000 撤销刚才的修改
下bp GetModuleHandleA
F9运行.
我的问题出来了..我一F9程序就运行了?
请大侠们帮帮忙..

[课程]Android-CTF解题方法汇总！

收藏・0

免费・0

支持

最新回复 (1)
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 2 楼 http://bbs.pediy.com/showthread.php?s=&threadid=31944 第三楼 2006-9-15 10:07 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

zscj

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区