首页
社区
课程
招聘
脱Armadillo 3.75D 加壳的DLL.
发表于: 2004-9-1 14:10 14018

脱Armadillo 3.75D 加壳的DLL.

2004-9-1 14:10
14018
收藏
免费 7
支持
分享
最新回复 (38)
雪    币: 250
活跃值: (105)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
26
我载入dll文件,隐藏od后,F9运行就出现这样,然后就提示解压出错。该怎么办 ?
2004-9-4 20:14
0
雪    币: 220
活跃值: (116)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
27
进入入口点后,在下面的
1EF8A065  |>  E8 EAFEFFFF   call VA_X.1EF89F54  <---- //请看下面,解壳和检测SOFTICE和Win32debug
1EF8A08A  |.  FF15 C466FB1E call dword ptr ds:[1EFB66C4]<--------// 呼叫OEP,请看1EE4868E
按Shift + f9 执行
2004-9-6 08:35
0
雪    币: 250
活跃值: (105)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
28
还是不行, 我给一个dll加了个壳,一直出错。请老兄看看

不能上传附件了?就点击吧。
2004-9-6 18:47
0
雪    币: 50161
活跃值: (20625)
能力值: (RANK:350 )
在线值:
发帖
回帖
粉丝
29
最初由 aerror 发布
脱Armadillo 3.75D 加壳的DLL.


DLL的名称.VA_X.DLL(VASSIST_X 1246 的加密的主要DLL)
使用工具:ollydbg,010Editor,LordPE,PEID.
........

test
2004-9-6 18:57
0
雪    币: 220
活跃值: (116)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
30
试过了,你的32,我一直按shift+f9运行,我遇到了异常,但再按一次shift+f9就过了.
2004-9-7 11:59
0
雪    币: 250
活跃值: (105)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
31
过了之后,我就出现 这样的对话框,到不了oep

传不了附件了。 提示如下:

Error while unpacking program,code 1.2.please report to author

能否提供脱壳文件的下载地址? 谢谢

2004-9-7 12:33
0
雪    币: 220
活跃值: (116)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
32
2004-9-7 12:36
0
雪    币: 250
活跃值: (105)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
33
2004-9-7 12:41
0
雪    币: 255
活跃值: (266)
能力值: ( LV12,RANK:220 )
在线值:
发帖
回帖
粉丝
34
佩服死了~~~
学习中~~~~
2004-9-11 02:49
0
雪    币: 255
活跃值: (266)
能力值: ( LV12,RANK:220 )
在线值:
发帖
回帖
粉丝
35
最初由 aerror 发布
008D574E 这个值是在.TEXT随便一个API调用的呼叫下硬件断点,然后去到这段代码的.

没看明白这段是什么意思?
能发张图吗?
2004-9-11 12:07
0
雪    币: 255
活跃值: (266)
能力值: ( LV12,RANK:220 )
在线值:
发帖
回帖
粉丝
36
//在OEP处,把DLL Dump下来,保存为DUMPED_.DLL,并且把2940000开始,大小为20000的区段DUMP下来保存为2940000.DMP,用URC修正IAT.
//用修改入口点为14868E .
这里的2940000你是怎么得到的?
2004-9-11 16:10
0
雪    币: 202
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
37
最初由 WiNrOOt 发布
//在OEP处,把DLL Dump下来,保存为DUMPED_.DLL,并且把2940000开始,大小为20000的区段DUMP下来保存为2940000.DMP,用URC修正IAT.
//用修改入口点为14868E .
这里的2940000你是怎么得到的?


呵呵,这里他有些没说清楚
其实2940000是个动态的地址,不确定的,是Armadillo做的Stolen Code.大致和ACPr 1.3x的Stolen Code类似,整个壳的难点也就是如何很好的恢复这个了,免得修复好的dll存在隐藏的问题

这个地址是用VirtualAlloc分配的,点工具栏里的M就可以找到一个大小是20000的内存块,一般也是在仅次于1ed00000的最高位地址吧
2004-9-11 16:31
0
雪    币: 255
活跃值: (266)
能力值: ( LV12,RANK:220 )
在线值:
发帖
回帖
粉丝
38
//因为2940000.DMP这段是由壳程序动态分配然后填入代码的,当没有壳运行的时候它不存在,但程序又必须要调用这段代码.
//我们必须想办法将它并入PE文件的段中,并修改相应的跳转地址.
//下面是具体对于DUMPED_.DLL的修改过程.
//用二进制编辑器打开2940000.DMP,
//查找3C1C,替换为AC FF,
//查找3D1C,替换为AD FF,
//保存.
//这里相应的把跳转地址都改向了1ED01000-1ED2C3A0段.
那这里的地址也要改变?
变成什么?
2004-9-11 17:20
0
雪    币: 258
活跃值: (230)
能力值: ( LV12,RANK:770 )
在线值:
发帖
回帖
粉丝
39
又一篇好文,支持一下:找入口,dump 修复・・・
最初由 WiNrOOt 发布
//在OEP处,把DLL Dump下来,保存为DUMPED_.DLL,并且把2940000开始,大小为20000的区段DUMP下来保存为2940000.DMP,用URC修正IAT.
//用修改入口点为14868E .
这里的2940000你是怎么得到的?
2004-9-13 14:24
0
游客
登录 | 注册 方可回帖
返回
//