[求助]关于ARM壳,以脱壳.也修复了CC.-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (5)
大彻大悟雪币： 0 能力值： (RANK：10 ) 在线值：发帖 23 回帖 163 粉丝 0 关注私信	大彻大悟 2 楼希望大家告诉我问题出在那里,谢谢 2007-2-21 16:27 0
wangshq397 雪币： 277 活跃值： (312) 能力值： ( LV9，RANK：330 ) 在线值：发帖 59 回帖 650 粉丝 0 关注私信	wangshq397 8 3 楼输入表没修复好 2007-2-21 20:47 0
大彻大悟雪币： 0 能力值： (RANK：10 ) 在线值：发帖 23 回帖 163 粉丝 0 关注私信	大彻大悟 4 楼我是用dilloDIE脱的 2007-2-22 08:40 0
tongyu 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 14 粉丝 0 关注私信	tongyu 5 楼脱arm的壳,什么工具最好用. 2007-2-24 11:30 0
网络游龙雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 13 粉丝 0 关注私信	网络游龙 6 楼不错 Armadillo 2.51 - 3.xx DLL Stub -> Silicon Realms Toolworks的疑问 PEID0.94 Armadillo 2.51 - 3.xx DLL Stub -> Silicon Realms Toolworks 按FLY大侠的教程http://www.unpack.cn/viewthread. ... rmadillo&page=1 1。首先要设置OllyDBG忽略除了“内存访问异常”和“异常范围”之外的其他异常选项 2。现在我们暂停在第一个内存异常处： 00999781 8900 mov dword ptr ds:[eax],eax 这里就不一样了 OD 载入后的入口是 0099B257 >/$ 55 PUSH EBP 0099B258 \|. 8BEC MOV EBP,ESP 0099B25A \|. 53 PUSH EBX 0099B25B \|. 8B5D 08 MOV EBX,DWORD PTR SS:[EBP+8] 0099B25E \|. 56 PUSH ESI 0099B25F \|. 8B75 0C MOV ESI,DWORD PTR SS:[EBP+C] 0099B262 \|. 57 PUSH EDI 和FLY大侠的完全不一样，用也试过用OD载过VA_X.dll和FLY的教程里的是一样停在00999781 8900 mov dword ptr ds:[eax],eax 二、Magic Jump 下断：HE GetModuleHandleA 如果硬件断点无法中断，可以Ctrl+G：GetModuleHandleA，在函数末尾设断 Shift+F9，注意看堆栈连续两次出来 000698E4 00990D97 /CALL 到 GetModuleHandleA 来自 00990D91 000698E8 009A4D68 \pModule = "kernel32.dll" 000698EC 009A5F58 ASCII "VirtualAlloc" 000698E4 00990DB4 /CALL 到 GetModuleHandleA 来自 00990DAE 000698E8 009A4D68 \pModule = "kernel32.dll" 000698EC 009A5F4C ASCII "VirtualFree" 后面就是一片空 N次过后 00068F98 00B226EA /CALL 到 GetModuleHandleA 来自 00B226E4 00068F9C 00000000 \pModule = NULL 无法找到 0006965C 00979A2D /CALL 到 GetModuleHandleA 来自 00979A27 00069660 00069798 \pModule = "kernel32.dll" 删硬件断点后 ALT+F9返回得到的是 00B226EA 68 007F0000 PUSH 7F00 00B226EF 53 PUSH EBX 00B226F0 8945 D8 MOV DWORD PTR SS:[EBP-28],EAX 00B226F3 FF15 B074B200 CALL DWORD PTR DS:[B274B0] ; USER32.LoadCursorA 00B226F9 8945 E0 MOV DWORD PTR SS:[EBP-20],EAX 00B226FC 8D45 C8 LEA EAX,DWORD PTR SS:[EBP-38] 00B226FF 50 PUSH EAX 00B22700 C745 E4 1000000>MOV DWORD PTR SS:[EBP-1C],10 00B22707 8975 EC MOV DWORD PTR SS:[EBP-14],ESI 00B2270A E8 AE160000 CALL 00B23DBD 00B2270F 33C9 XOR ECX,ECX 00B22711 66:3BC3 CMP AX,BX 00B22714 0F95C1 SETNE CL 00B22717 66:A3 48BBB300 MOV WORD PTR DS:[B3BB48],AX 00B2271D 8AC1 MOV AL,CL 00B2271F 5E POP ESI 00B22720 5B POP EBX 00B22721 C9 LEAVE 00B22722 C3 RETN 00B22723 55 PUSH EBP 00B22724 8BEC MOV EBP,ESP 00B22726 53 PUSH EBX 00B22727 8B5D 08 MOV EBX,DWORD PTR SS:[EBP+8] 00B2272A 56 PUSH ESI 00B2272B 8B75 0C MOV ESI,DWORD PTR SS:[EBP+C] 无法找到//Magic Jump！请大家帮忙解释一下是哪里的错！！！！由于DLL用的是ARM加壳所在太大1M论坛无法上传只要放在朋友的空间 http://down.58sd.com/cert/arm.rar 2007-2-25 20:39 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (5)
大彻大悟雪币： 0 能力值： (RANK：10 ) 在线值：发帖 23 回帖 163 粉丝 0 关注私信	大彻大悟 2 楼希望大家告诉我问题出在那里,谢谢 2007-2-21 16:27 0
wangshq397 雪币： 277 活跃值： (312) 能力值： ( LV9，RANK：330 ) 在线值：发帖 59 回帖 650 粉丝 0 关注私信	wangshq397 8 3 楼输入表没修复好 2007-2-21 20:47 0
大彻大悟雪币： 0 能力值： (RANK：10 ) 在线值：发帖 23 回帖 163 粉丝 0 关注私信	大彻大悟 4 楼我是用dilloDIE脱的 2007-2-22 08:40 0
tongyu 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 14 粉丝 0 关注私信	tongyu 5 楼脱arm的壳,什么工具最好用. 2007-2-24 11:30 0
网络游龙雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 13 粉丝 0 关注私信	网络游龙 6 楼不错 Armadillo 2.51 - 3.xx DLL Stub -> Silicon Realms Toolworks的疑问 PEID0.94 Armadillo 2.51 - 3.xx DLL Stub -> Silicon Realms Toolworks 按FLY大侠的教程http://www.unpack.cn/viewthread. ... rmadillo&page=1 1。首先要设置OllyDBG忽略除了“内存访问异常”和“异常范围”之外的其他异常选项 2。现在我们暂停在第一个内存异常处： 00999781 8900 mov dword ptr ds:[eax],eax 这里就不一样了 OD 载入后的入口是 0099B257 >/$ 55 PUSH EBP 0099B258 \|. 8BEC MOV EBP,ESP 0099B25A \|. 53 PUSH EBX 0099B25B \|. 8B5D 08 MOV EBX,DWORD PTR SS:[EBP+8] 0099B25E \|. 56 PUSH ESI 0099B25F \|. 8B75 0C MOV ESI,DWORD PTR SS:[EBP+C] 0099B262 \|. 57 PUSH EDI 和FLY大侠的完全不一样，用也试过用OD载过VA_X.dll和FLY的教程里的是一样停在00999781 8900 mov dword ptr ds:[eax],eax 二、Magic Jump 下断：HE GetModuleHandleA 如果硬件断点无法中断，可以Ctrl+G：GetModuleHandleA，在函数末尾设断 Shift+F9，注意看堆栈连续两次出来 000698E4 00990D97 /CALL 到 GetModuleHandleA 来自 00990D91 000698E8 009A4D68 \pModule = "kernel32.dll" 000698EC 009A5F58 ASCII "VirtualAlloc" 000698E4 00990DB4 /CALL 到 GetModuleHandleA 来自 00990DAE 000698E8 009A4D68 \pModule = "kernel32.dll" 000698EC 009A5F4C ASCII "VirtualFree" 后面就是一片空 N次过后 00068F98 00B226EA /CALL 到 GetModuleHandleA 来自 00B226E4 00068F9C 00000000 \pModule = NULL 无法找到 0006965C 00979A2D /CALL 到 GetModuleHandleA 来自 00979A27 00069660 00069798 \pModule = "kernel32.dll" 删硬件断点后 ALT+F9返回得到的是 00B226EA 68 007F0000 PUSH 7F00 00B226EF 53 PUSH EBX 00B226F0 8945 D8 MOV DWORD PTR SS:[EBP-28],EAX 00B226F3 FF15 B074B200 CALL DWORD PTR DS:[B274B0] ; USER32.LoadCursorA 00B226F9 8945 E0 MOV DWORD PTR SS:[EBP-20],EAX 00B226FC 8D45 C8 LEA EAX,DWORD PTR SS:[EBP-38] 00B226FF 50 PUSH EAX 00B22700 C745 E4 1000000>MOV DWORD PTR SS:[EBP-1C],10 00B22707 8975 EC MOV DWORD PTR SS:[EBP-14],ESI 00B2270A E8 AE160000 CALL 00B23DBD 00B2270F 33C9 XOR ECX,ECX 00B22711 66:3BC3 CMP AX,BX 00B22714 0F95C1 SETNE CL 00B22717 66:A3 48BBB300 MOV WORD PTR DS:[B3BB48],AX 00B2271D 8AC1 MOV AL,CL 00B2271F 5E POP ESI 00B22720 5B POP EBX 00B22721 C9 LEAVE 00B22722 C3 RETN 00B22723 55 PUSH EBP 00B22724 8BEC MOV EBP,ESP 00B22726 53 PUSH EBX 00B22727 8B5D 08 MOV EBX,DWORD PTR SS:[EBP+8] 00B2272A 56 PUSH ESI 00B2272B 8B75 0C MOV ESI,DWORD PTR SS:[EBP+C] 无法找到//Magic Jump！请大家帮忙解释一下是哪里的错！！！！由于DLL用的是ARM加壳所在太大1M论坛无法上传只要放在朋友的空间 http://down.58sd.com/cert/arm.rar 2007-2-25 20:39 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复