首页
社区
课程
招聘
[求助]请版主及各位高手看一下是什么壳!谢谢!
发表于: 2007-9-30 14:21 4430

[求助]请版主及各位高手看一下是什么壳!谢谢!

2007-9-30 14:21
4430
可以用OD正常执行,但OD的地址不跟一起动,下任何断点都无反应,明明有字串,查询字串时一个都查不了!!!

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (4)
雪    币: 224
活跃值: (147)
能力值: ( LV9,RANK:970 )
在线值:
发帖
回帖
粉丝
2
Armdadillo 5.x的吧
复制几行EP头的代码帖上来看看
2007-9-30 14:24
0
雪    币: 202
活跃值: (25)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3

2007-9-30 14:30
0
雪    币: 202
活跃值: (25)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
终于找到了,是新版Armadillo V5.02加的壳!
2007-9-30 14:38
0
雪    币: 202
活跃值: (25)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
新版Armadillo V5.02+IAT Elimination+ASPack 2.x双层壳笔记

新版Armadillo V5.02+IAT Elimination+ASPack 2.x双层壳笔记

一软件用PEiD查看为ASPack 2.x (without poly) -> Alexey Solodovnikov,用AspackDie脱壳失败。
习惯的打开OD载入文件,运行fly老师的Armadillo4.0-V4.44.Standard.Protection脚本,也跑飞。
看这个程序的EP,看来是伪装的,在新版本中又增加了vm,以前的脱壳方法看来有问题了。

无奈,于是开始跟踪之,开始手动脱壳。
=========================================================================================================
清除所有*.udd、*.bak临时文件。OD载入文件,停在EP入口。

00D2FDC2 >  E8 E3400000          call MQJSSV9.00D33EAA                 ; 伪装EP入口
00D2FDC7  ^ E9 16FEFFFF          jmp MQJSSV9.00D2FBE2
00D2FDCC    6A 0C                push 0C
00D2FDCE    68 B0E0D500          push MQJSSV9.00D5E0B0
00D2FDD3    E8 44150000          call MQJSSV9.00D3131C
00D2FDD8    8B4D 08              mov ecx,dword ptr ss:[ebp+8]
00D2FDDB    33FF                 xor edi,edi
00D2FDDD    3BCF                 cmp ecx,edi
00D2FDDF    76 2E                jbe short MQJSSV9.00D2FE0F
2007-9-30 14:39
0
游客
登录 | 注册 方可回帖
返回
//