能力值:
( LV9,RANK:970 )
|
-
-
2 楼
Armdadillo 5.x的吧
复制几行EP头的代码帖上来看看
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
|
能力值:
( LV2,RANK:10 )
|
-
-
4 楼
终于找到了,是新版Armadillo V5.02加的壳!
|
能力值:
( LV2,RANK:10 )
|
-
-
5 楼
新版Armadillo V5.02+IAT Elimination+ASPack 2.x双层壳笔记
新版Armadillo V5.02+IAT Elimination+ASPack 2.x双层壳笔记
一软件用PEiD查看为ASPack 2.x (without poly) -> Alexey Solodovnikov,用AspackDie脱壳失败。
习惯的打开OD载入文件,运行fly老师的Armadillo4.0-V4.44.Standard.Protection脚本,也跑飞。
看这个程序的EP,看来是伪装的,在新版本中又增加了vm,以前的脱壳方法看来有问题了。
无奈,于是开始跟踪之,开始手动脱壳。
=========================================================================================================
清除所有*.udd、*.bak临时文件。OD载入文件,停在EP入口。
00D2FDC2 > E8 E3400000 call MQJSSV9.00D33EAA ; 伪装EP入口
00D2FDC7 ^ E9 16FEFFFF jmp MQJSSV9.00D2FBE2
00D2FDCC 6A 0C push 0C
00D2FDCE 68 B0E0D500 push MQJSSV9.00D5E0B0
00D2FDD3 E8 44150000 call MQJSSV9.00D3131C
00D2FDD8 8B4D 08 mov ecx,dword ptr ss:[ebp+8]
00D2FDDB 33FF xor edi,edi
00D2FDDD 3BCF cmp ecx,edi
00D2FDDF 76 2E jbe short MQJSSV9.00D2FE0F
|
|
|