请教各位前辈一个Armadillo壳的问题-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (7)
forgot 雪币： 6073 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3744 粉丝 15 关注私信	forgot 26 2004-8-13 23:20 2 楼 0 1.修改eip后在OpenMutexA按F4 2.bp没有异常, 一定可以f9.硬件断点输入he GetModuleHandleA+5
swordman 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	swordman 2004-8-13 23:29 3 楼 0 前辈的意思是直接用he GetModuleHandleA+5来设置硬件断点？？还有关于第一个：“修改eip后在OpenMutexA按F4 ”是什么意思呢，是不是修改eip侯后按F9返回，然后在OpenMutexA处直接按F4，取消断点呢？？记得Fly前辈的帖子好像是这样的：修改eip后按F9断在OpenMutexA处，取消断点，然后直接下BP GetModuleHandleA+5，此后shift+F9，看堆栈数据....... 还请前辈指点，谢谢
fly 雪币： 896 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 295 回帖 7672 粉丝 32 关注私信	fly 85 2004-8-13 23:38 4 楼 0 “修改eip后在OpenMutexA按F4” ――不懂如果不是标准壳的话，则无法这样完成脱壳
forgot 雪币： 6073 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3744 粉丝 15 关注私信	forgot 26 2004-8-13 23:42 5 楼 0 不知道脱的是什么, 在401000按Ctrl+*然后会跳回OpenMutextA吧
swordman 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	swordman 2004-8-14 12:38 6 楼 0 Fly和Forgot前辈，小弟还是不怎么明白您的指点，我把那个东西穿了上来，不知您能不能帮忙看看，谢谢
SwordLea 雪币： 209 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 43 粉丝 1 关注私信	SwordLea 2004-8-14 14:59 7 楼 0 写个ollydbg脚本， var x gpa "OpenMutexA", "KERNEL32.dll" mov x, $RESULT BP x run BC x mov eip , 401000 asm eip , "PUSHAD" add eip, 1 asm eip , "PUSHFD" add eip, 1 asm eip , "PUSH 12FBB4" add eip, 5 asm eip , "XOR EAX,EAX" add eip, 2 mov [eip] , 5050 add eip, 2 asm eip, "CALL CreateMutexA" add eip, 5 asm eip, "POPFD" add eip, 1 asm eip, "POPAD" add eip, 1 asm eip, "JMP OpenMutexA" mov eip , 401000 rtr
swordman 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	swordman 2004-8-14 21:28 8 楼 0 请问前辈这个脚本怎么用啊,直接写入欺骗不行吗
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

最新回复 (7)
forgot 雪币： 6073 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3744 粉丝 15 关注私信	forgot 26 2004-8-13 23:20 2 楼 0 1.修改eip后在OpenMutexA按F4 2.bp没有异常, 一定可以f9.硬件断点输入he GetModuleHandleA+5
swordman 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	swordman 2004-8-13 23:29 3 楼 0 前辈的意思是直接用he GetModuleHandleA+5来设置硬件断点？？还有关于第一个：“修改eip后在OpenMutexA按F4 ”是什么意思呢，是不是修改eip侯后按F9返回，然后在OpenMutexA处直接按F4，取消断点呢？？记得Fly前辈的帖子好像是这样的：修改eip后按F9断在OpenMutexA处，取消断点，然后直接下BP GetModuleHandleA+5，此后shift+F9，看堆栈数据....... 还请前辈指点，谢谢
fly 雪币： 896 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 295 回帖 7672 粉丝 32 关注私信	fly 85 2004-8-13 23:38 4 楼 0 “修改eip后在OpenMutexA按F4” ――不懂如果不是标准壳的话，则无法这样完成脱壳
forgot 雪币： 6073 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3744 粉丝 15 关注私信	forgot 26 2004-8-13 23:42 5 楼 0 不知道脱的是什么, 在401000按Ctrl+*然后会跳回OpenMutextA吧
swordman 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	swordman 2004-8-14 12:38 6 楼 0 Fly和Forgot前辈，小弟还是不怎么明白您的指点，我把那个东西穿了上来，不知您能不能帮忙看看，谢谢
SwordLea 雪币： 209 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 43 粉丝 1 关注私信	SwordLea 2004-8-14 14:59 7 楼 0 写个ollydbg脚本， var x gpa "OpenMutexA", "KERNEL32.dll" mov x, $RESULT BP x run BC x mov eip , 401000 asm eip , "PUSHAD" add eip, 1 asm eip , "PUSHFD" add eip, 1 asm eip , "PUSH 12FBB4" add eip, 5 asm eip , "XOR EAX,EAX" add eip, 2 mov [eip] , 5050 add eip, 2 asm eip, "CALL CreateMutexA" add eip, 5 asm eip, "POPFD" add eip, 1 asm eip, "POPAD" add eip, 1 asm eip, "JMP OpenMutexA" mov eip , 401000 rtr
swordman 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	swordman 2004-8-14 21:28 8 楼 0 请问前辈这个脚本怎么用啊,直接写入欺骗不行吗
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复