-
-
[旧帖] [求助]找Armadillo的magic跳一般用哪些方法 0.00雪花
-
2007-9-3 12:24
-
最近在脱一个软件的Armadillo壳,试了好多方法,还是找不到magic跳
壳版本
PEDIT侦壳 Armadillo 3.78 - 4.xx -> Silicon Realms Toolworks [Overlay]
FI 侦壳 Armadillo 3.75? big {glue} .adata '对Armadillo参数不熟悉,不知big是什么含义
ArmadilloFP查不出版本号,只有一个特征码
HE GetModuleHandleA+5下断点
忽略所有异常,同时忽略C000001E
shift+F9
堆栈
001294A4 /0012EBEC
001294A8 |00B97700 返回到 00B97700 来自 kernel32.GetModuleHandleA
001294AC |00BACD04 ASCII "kernel32.dll"
001294B0 |00BAE080 ASCII "VirtualAlloc"
-------------------
shift+F9
堆栈
001294A4 /0012EBEC
001294A8 |00B9771D 返回到 00B9771D 来自 kernel32.GetModuleHandleA
001294AC |00BACD04 ASCII "kernel32.dll"
001294B0 |00BAE074 ASCII "VirtualFree"
-----------------看文章说出现VirtualFree后就离magic跳不远了
shift+F9
堆栈
00128858 /001288A4
0012885C |00BA26EA 返回到 00BA26EA 来自 kernel32.GetModuleHandleA
-----------------
shift+F9
堆栈
0012889C /00128B08
001288A0 |00BA22E3 返回到 00BA22E3 来自 kernel32.GetModuleHandleA
-----------------
shift+F9
堆栈
001078B8 /001079D4
001078BC |74723BEE 返回到 74723BEE 来自 kernel32.GetModuleHandleA
001078C0 |001078C4 ASCII "C:\WINDOWS\system32\ntdll.dll"
-----------------
shift+F9
堆栈
001078C0 /001079DC
001078C4 |74723BEE 返回到 74723BEE 来自 kernel32.GetModuleHandleA
001078C8 |001078CC ASCII "C:\WINDOWS\system32\imm32.dll"
---------------
shift+F9
堆栈
0010780C /00107928
00107810 |74723BEE 返回到 74723BEE 来自 kernel32.GetModuleHandleA
00107814 |00107818 ASCII "C:\WINDOWS\system32\KERNEL32"
---------------
shift+F9
堆栈
00107F98 /001080B4
00107F9C |755DD4A4 返回到 755DD4A4 来自 kernel32.GetModuleHandleA
00107FA0 |00107FA4 ASCII "C:\WINDOWS\system32\ntdll.dll"
---------------
shift+F9
堆栈
00107304 /0010733C
00107308 |3A6597D3 返回到 3A6597D3 来自 kernel32.GetModuleHandleA
0010730C |3A606474 ASCII "kernel32.dll"
---------------
shift+F9
堆栈
0012889C /00128B08
001288A0 |00BA244D 返回到 00BA244D 来自 kernel32.GetModuleHandleA
---------------
shift+F9
堆栈
0012889C /00128B08
001288A0 |00BA2574 返回到 00BA2574 来自 kernel32.GetModuleHandleA
---------------
shift+F9
堆栈
0012889C /00128B08
001288A0 |00BA2574 返回到 00BA2574 来自 kernel32.GetModuleHandleA
---------------
shift+F9
堆栈
0012889C /00128B08
001288A0 |00BA2574 返回到 00BA2574 来自 kernel32.GetModuleHandleA
---------------
shift+F9
堆栈
00126E60 /00126E84
00126E64 |77F72FDD 返回到 SHLWAPI.77F72FDD 来自 kernel32.GetModuleHandleA
00126E68 |77F72F78 ASCII "KERNEL32"
---------------
shift+F9
弹出注册框。
以上除第一个之外,每次shift+F9停留时间都很短,于是每个都跟进去找magic jump ,取消断点后ALT+F9进去找magic jump 但是没有找到。
请朋友们帮忙看看:
环保工作者实用电子手册 1.2.0701 华军下载地址 http://www.newhua.com/soft/32330.htm
壳版本
PEDIT侦壳 Armadillo 3.78 - 4.xx -> Silicon Realms Toolworks [Overlay]
FI 侦壳 Armadillo 3.75? big {glue} .adata '对Armadillo参数不熟悉,不知big是什么含义ArmadilloFP查不出版本号,只有一个特征码
HE GetModuleHandleA+5下断点
忽略所有异常,同时忽略C000001E
shift+F9
堆栈
001294A4 /0012EBEC
001294A8 |00B97700 返回到 00B97700 来自 kernel32.GetModuleHandleA
001294AC |00BACD04 ASCII "kernel32.dll"
001294B0 |00BAE080 ASCII "VirtualAlloc"
-------------------
shift+F9
堆栈
001294A4 /0012EBEC
001294A8 |00B9771D 返回到 00B9771D 来自 kernel32.GetModuleHandleA
001294AC |00BACD04 ASCII "kernel32.dll"
001294B0 |00BAE074 ASCII "VirtualFree"
-----------------看文章说出现VirtualFree后就离magic跳不远了
shift+F9
堆栈
00128858 /001288A4
0012885C |00BA26EA 返回到 00BA26EA 来自 kernel32.GetModuleHandleA
-----------------
shift+F9
堆栈
0012889C /00128B08
001288A0 |00BA22E3 返回到 00BA22E3 来自 kernel32.GetModuleHandleA
-----------------
shift+F9
堆栈
001078B8 /001079D4
001078BC |74723BEE 返回到 74723BEE 来自 kernel32.GetModuleHandleA
001078C0 |001078C4 ASCII "C:\WINDOWS\system32\ntdll.dll"
-----------------
shift+F9
堆栈
001078C0 /001079DC
001078C4 |74723BEE 返回到 74723BEE 来自 kernel32.GetModuleHandleA
001078C8 |001078CC ASCII "C:\WINDOWS\system32\imm32.dll"
---------------
shift+F9
堆栈
0010780C /00107928
00107810 |74723BEE 返回到 74723BEE 来自 kernel32.GetModuleHandleA
00107814 |00107818 ASCII "C:\WINDOWS\system32\KERNEL32"
---------------
shift+F9
堆栈
00107F98 /001080B4
00107F9C |755DD4A4 返回到 755DD4A4 来自 kernel32.GetModuleHandleA
00107FA0 |00107FA4 ASCII "C:\WINDOWS\system32\ntdll.dll"
---------------
shift+F9
堆栈
00107304 /0010733C
00107308 |3A6597D3 返回到 3A6597D3 来自 kernel32.GetModuleHandleA
0010730C |3A606474 ASCII "kernel32.dll"
---------------
shift+F9
堆栈
0012889C /00128B08
001288A0 |00BA244D 返回到 00BA244D 来自 kernel32.GetModuleHandleA
---------------
shift+F9
堆栈
0012889C /00128B08
001288A0 |00BA2574 返回到 00BA2574 来自 kernel32.GetModuleHandleA
---------------
shift+F9
堆栈
0012889C /00128B08
001288A0 |00BA2574 返回到 00BA2574 来自 kernel32.GetModuleHandleA
---------------
shift+F9
堆栈
0012889C /00128B08
001288A0 |00BA2574 返回到 00BA2574 来自 kernel32.GetModuleHandleA
---------------
shift+F9
堆栈
00126E60 /00126E84
00126E64 |77F72FDD 返回到 SHLWAPI.77F72FDD 来自 kernel32.GetModuleHandleA
00126E68 |77F72F78 ASCII "KERNEL32"
---------------
shift+F9
弹出注册框。
以上除第一个之外,每次shift+F9停留时间都很短,于是每个都跟进去找magic jump ,取消断点后ALT+F9进去找magic jump 但是没有找到。
请朋友们帮忙看看:
环保工作者实用电子手册 1.2.0701 华军下载地址 http://www.newhua.com/soft/32330.htm
[培训]二进制漏洞攻防(第3期);满10人开班;模糊测试与工具使用二次开发;网络协议漏洞挖掘;Linux内核漏洞挖掘与利用;AOSP漏洞挖掘与利用;代码审计。
