Armadillo3.60 加壳的EXE文件脱壳全过程-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

Armadillo3.60 加壳的EXE文件脱壳全过程

发表于: 2004-9-8 11:54 27790

Armadillo3.60 加壳的EXE文件脱壳全过程

popo123456 活跃值

2004-9-8 11:54

27790

查看主题内容

收藏・9

免费・7

支持

最新回复 (70) ◀ 1 2 3
limee 雪币： 1540 活跃值： (2807) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 976 粉丝 1 关注私信	limee 51 楼在Win2K下面断不下来。 Attach子进程后，401000下硬件断点然后F9,Notepad.exe的窗口就出来了！断不下来！还有子进程是什么时候创建的？ bp CreateProcessA也断不下来，奇怪啊！子进程在哪里创建？我怎么无法找到？最初由 popo123456 发布怎么做不出来？遇到异常了？是子进程． 2004-10-5 12:20 0
popo123456 雪币： 241 活跃值： (175) 能力值： ( LV8，RANK：130 ) 在线值：发帖 14 回帖 96 粉丝 0 关注私信	popo123456 3 52 楼最初由 limee 发布在Win2K下面断不下来。 Attach子进程后，401000下硬件断点然后F9,Notepad.exe的窗口就出来了！断不下来！你在401000上下　内存访问断点　试试．如果还不行建议你看看以前的关于这个壳的文章． 2004-10-5 12:35 0
limee 雪币： 1540 活跃值： (2807) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 976 粉丝 1 关注私信	limee 53 楼 Alt+M ,在401000上下内存访问断点 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 我刚才打错了,我是下的内存断点,断不下来. 大致可以认为,WIN2K用文章的方法是不行的。你可以找台WIN2k的机器试一下最初由 popo123456 发布你在401000上下　内存访问断点　试试．如果还不行建议你看看以前的关于这个壳的文章． 2004-10-5 17:04 0
GDSoftware 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	GDSoftware 54 楼学习。。 2004-10-5 19:55 0
lucktiger 雪币： 5895 活跃值： (2717) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 261 粉丝 1 关注私信	lucktiger 55 楼还是不行啊 2004-10-5 22:19 0
vrowang123 雪币： 257 活跃值： (56) 能力值： ( LV5，RANK：60 ) 在线值：发帖 75 回帖 586 粉丝 0 关注私信	vrowang123 1 56 楼做个录像把 2004-10-6 20:10 0
xiluoyou 雪币： 241 活跃值： (160) 能力值： ( LV2，RANK：10 ) 在线值：发帖 26 回帖 238 粉丝 1 关注私信	xiluoyou 57 楼怎么我脱不了啊？ 2004-10-14 04:55 0
vrowang123 雪币： 257 活跃值： (56) 能力值： ( LV5，RANK：60 ) 在线值：发帖 75 回帖 586 粉丝 0 关注私信	vrowang123 1 58 楼 1。按照你的方法，我dump出的文件没有图标（根源有图标不一样),且不能打开，不知为什么？ 2。你写道：载入之前先修改入口点为10CC 那个10cc是因为oep是410cc而确定的么？谢谢！ 2004-10-16 14:10 0
xiluoyou 雪币： 241 活跃值： (160) 能力值： ( LV2，RANK：10 ) 在线值：发帖 26 回帖 238 粉丝 1 关注私信	xiluoyou 59 楼请问我在用LOADPE来DUMP出的时候出现了couldn"t grab process memory 请问一下这是什么意思和原因啊？ 2004-10-17 18:19 0
xczf 雪币： 208 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 6 粉丝 0 关注私信	xczf 60 楼我按照楼主写的方法试了，遇到问题很多。但静下心来参考相关文章终于也成功了。我又搞了一个软件让大家练练手。ftp://61.177.204.38/ex9000.exe 为了方便大家交流我为大家提供一个FTP。因为一般的软件都大于512k，附件不好传啊。 ftp://61.177.204.38/ 用户名密码都是：user 大家注意该ftp只准放论坛附件上传不了的软件。一旦发现有人传其他东西立即关闭。谢谢大家合作。 2004-10-18 11:35 0
vrowang123 雪币： 257 活跃值： (56) 能力值： ( LV5，RANK：60 ) 在线值：发帖 75 回帖 586 粉丝 0 关注私信	vrowang123 1 61 楼 dingyixia 2004-10-23 09:15 0
9676 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	9676 62 楼最初由 xczf 发布我按照楼主写的方法试了，遇到问题很多。但静下心来参考相关文章终于也成功了。我又搞了一个软件让大家练练手。ftp://61.177.204.38/ex9000.exe 为了方便大家交流我为大家提供一个FTP。因为一般的软件都大于512k，附件不好传啊。 ftp://61.177.204.38/ ........ 刚加入.变相求解? 我解不了有人解开了的话希望共享一下心得 2004-11-22 04:13 0
David 雪币： 411 活跃值： (1160) 能力值： ( LV9，RANK：810 ) 在线值：发帖 44 回帖 404 粉丝 4 关注私信	David 20 63 楼我无法在脱文指导处脱第二个进程，提示错误，第一个进程可以脱，但OD载入都是0字节，:( 动画到底在哪里？ 2004-12-12 11:21 0
vrowang123 雪币： 257 活跃值： (56) 能力值： ( LV5，RANK：60 ) 在线值：发帖 75 回帖 586 粉丝 0 关注私信	vrowang123 1 64 楼最初由 David 发布我无法在脱文指导处脱第二个进程，提示错误，第一个进程可以脱，但OD载入都是0字节，:( 动画到底在哪里？是否提示：can't grap this memary? 可以不用这种方法脱，有arm dump lordPE插件脱好了. 2004-12-12 13:44 0
齐天〓大圣雪币： 207 活跃值： (55) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 15 粉丝 0 关注私信	齐天〓大圣 65 楼 55555555555 我不会 2004-12-12 13:52 0
David 雪币： 411 活跃值： (1160) 能力值： ( LV9，RANK：810 ) 在线值：发帖 44 回帖 404 粉丝 4 关注私信	David 20 66 楼最初由 vrowang123 发布是否提示：can't grap this memary? 可以不用这种方法脱，有arm dump lordPE插件脱好了. :( 是这个提示，Arm插件脱壳10分钟无反应，我是2K下面脱的，卡住了。 2004-12-12 15:01 0
vrowang123 雪币： 257 活跃值： (56) 能力值： ( LV5，RANK：60 ) 在线值：发帖 75 回帖 586 粉丝 0 关注私信	vrowang123 1 67 楼刚刚用插件dump的ita 还没修，winXP下dump的附件:dumped.rar 2004-12-12 15:32 0
vrowang123 雪币： 257 活跃值： (56) 能力值： ( LV5，RANK：60 ) 在线值：发帖 75 回帖 586 粉丝 0 关注私信	vrowang123 1 68 楼 Microsoft Visual C++ 6.0 SPx Method 1 2004-12-12 15:44 0
Benki 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 42 粉丝 0 关注私信	Benki 69 楼支持一下!! 2004-12-13 14:03 0
shijiaoan 雪币： 210 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 106 粉丝 0 关注私信	shijiaoan 70 楼 he WaitForDebugEvent断不下来怎么办？ 2006-10-27 14:07 0
popo123456 雪币： 241 活跃值： (175) 能力值： ( LV8，RANK：130 ) 在线值：发帖 14 回帖 96 粉丝 0 关注私信	popo123456 3 71 楼晕这么老的帖子也被你翻出来了,再仔细看看吧应该可以的 2006-10-28 22:20 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

popo123456

发帖

回帖

130

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (70) ◀ 1 2 3
limee 雪币： 1540 活跃值： (2807) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 976 粉丝 1 关注私信	limee 51 楼在Win2K下面断不下来。 Attach子进程后，401000下硬件断点然后F9,Notepad.exe的窗口就出来了！断不下来！还有子进程是什么时候创建的？ bp CreateProcessA也断不下来，奇怪啊！子进程在哪里创建？我怎么无法找到？最初由 popo123456 发布怎么做不出来？遇到异常了？是子进程． 2004-10-5 12:20 0
popo123456 雪币： 241 活跃值： (175) 能力值： ( LV8，RANK：130 ) 在线值：发帖 14 回帖 96 粉丝 0 关注私信	popo123456 3 52 楼最初由 limee 发布在Win2K下面断不下来。 Attach子进程后，401000下硬件断点然后F9,Notepad.exe的窗口就出来了！断不下来！你在401000上下　内存访问断点　试试．如果还不行建议你看看以前的关于这个壳的文章． 2004-10-5 12:35 0
limee 雪币： 1540 活跃值： (2807) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 976 粉丝 1 关注私信	limee 53 楼 Alt+M ,在401000上下内存访问断点 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 我刚才打错了,我是下的内存断点,断不下来. 大致可以认为,WIN2K用文章的方法是不行的。你可以找台WIN2k的机器试一下最初由 popo123456 发布你在401000上下　内存访问断点　试试．如果还不行建议你看看以前的关于这个壳的文章． 2004-10-5 17:04 0
GDSoftware 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	GDSoftware 54 楼学习。。 2004-10-5 19:55 0
lucktiger 雪币： 5895 活跃值： (2717) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 261 粉丝 1 关注私信	lucktiger 55 楼还是不行啊 2004-10-5 22:19 0
vrowang123 雪币： 257 活跃值： (56) 能力值： ( LV5，RANK：60 ) 在线值：发帖 75 回帖 586 粉丝 0 关注私信	vrowang123 1 56 楼做个录像把 2004-10-6 20:10 0
xiluoyou 雪币： 241 活跃值： (160) 能力值： ( LV2，RANK：10 ) 在线值：发帖 26 回帖 238 粉丝 1 关注私信	xiluoyou 57 楼怎么我脱不了啊？ 2004-10-14 04:55 0
vrowang123 雪币： 257 活跃值： (56) 能力值： ( LV5，RANK：60 ) 在线值：发帖 75 回帖 586 粉丝 0 关注私信	vrowang123 1 58 楼 1。按照你的方法，我dump出的文件没有图标（根源有图标不一样),且不能打开，不知为什么？ 2。你写道：载入之前先修改入口点为10CC 那个10cc是因为oep是410cc而确定的么？谢谢！ 2004-10-16 14:10 0
xiluoyou 雪币： 241 活跃值： (160) 能力值： ( LV2，RANK：10 ) 在线值：发帖 26 回帖 238 粉丝 1 关注私信	xiluoyou 59 楼请问我在用LOADPE来DUMP出的时候出现了couldn"t grab process memory 请问一下这是什么意思和原因啊？ 2004-10-17 18:19 0
xczf 雪币： 208 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 6 粉丝 0 关注私信	xczf 60 楼我按照楼主写的方法试了，遇到问题很多。但静下心来参考相关文章终于也成功了。我又搞了一个软件让大家练练手。ftp://61.177.204.38/ex9000.exe 为了方便大家交流我为大家提供一个FTP。因为一般的软件都大于512k，附件不好传啊。 ftp://61.177.204.38/ 用户名密码都是：user 大家注意该ftp只准放论坛附件上传不了的软件。一旦发现有人传其他东西立即关闭。谢谢大家合作。 2004-10-18 11:35 0
vrowang123 雪币： 257 活跃值： (56) 能力值： ( LV5，RANK：60 ) 在线值：发帖 75 回帖 586 粉丝 0 关注私信	vrowang123 1 61 楼 dingyixia 2004-10-23 09:15 0
9676 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	9676 62 楼最初由 xczf 发布我按照楼主写的方法试了，遇到问题很多。但静下心来参考相关文章终于也成功了。我又搞了一个软件让大家练练手。ftp://61.177.204.38/ex9000.exe 为了方便大家交流我为大家提供一个FTP。因为一般的软件都大于512k，附件不好传啊。 ftp://61.177.204.38/ ........ 刚加入.变相求解? 我解不了有人解开了的话希望共享一下心得 2004-11-22 04:13 0
David 雪币： 411 活跃值： (1160) 能力值： ( LV9，RANK：810 ) 在线值：发帖 44 回帖 404 粉丝 4 关注私信	David 20 63 楼我无法在脱文指导处脱第二个进程，提示错误，第一个进程可以脱，但OD载入都是0字节，:( 动画到底在哪里？ 2004-12-12 11:21 0
vrowang123 雪币： 257 活跃值： (56) 能力值： ( LV5，RANK：60 ) 在线值：发帖 75 回帖 586 粉丝 0 关注私信	vrowang123 1 64 楼最初由 David 发布我无法在脱文指导处脱第二个进程，提示错误，第一个进程可以脱，但OD载入都是0字节，:( 动画到底在哪里？是否提示：can't grap this memary? 可以不用这种方法脱，有arm dump lordPE插件脱好了. 2004-12-12 13:44 0
齐天〓大圣雪币： 207 活跃值： (55) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 15 粉丝 0 关注私信	齐天〓大圣 65 楼 55555555555 我不会 2004-12-12 13:52 0
David 雪币： 411 活跃值： (1160) 能力值： ( LV9，RANK：810 ) 在线值：发帖 44 回帖 404 粉丝 4 关注私信	David 20 66 楼最初由 vrowang123 发布是否提示：can't grap this memary? 可以不用这种方法脱，有arm dump lordPE插件脱好了. :( 是这个提示，Arm插件脱壳10分钟无反应，我是2K下面脱的，卡住了。 2004-12-12 15:01 0
vrowang123 雪币： 257 活跃值： (56) 能力值： ( LV5，RANK：60 ) 在线值：发帖 75 回帖 586 粉丝 0 关注私信	vrowang123 1 67 楼刚刚用插件dump的ita 还没修，winXP下dump的附件:dumped.rar 2004-12-12 15:32 0
vrowang123 雪币： 257 活跃值： (56) 能力值： ( LV5，RANK：60 ) 在线值：发帖 75 回帖 586 粉丝 0 关注私信	vrowang123 1 68 楼 Microsoft Visual C++ 6.0 SPx Method 1 2004-12-12 15:44 0
Benki 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 42 粉丝 0 关注私信	Benki 69 楼支持一下!! 2004-12-13 14:03 0
shijiaoan 雪币： 210 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 106 粉丝 0 关注私信	shijiaoan 70 楼 he WaitForDebugEvent断不下来怎么办？ 2006-10-27 14:07 0
popo123456 雪币： 241 活跃值： (175) 能力值： ( LV8，RANK：130 ) 在线值：发帖 14 回帖 96 粉丝 0 关注私信	popo123456 3 71 楼晕这么老的帖子也被你翻出来了,再仔细看看吧应该可以的 2006-10-28 22:20 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复