Armadillo3.60脱文的疑问-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (8)
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 2 楼 55 push ebp 8BEC mov ebp,esp 2004-10-1 17:07 0
popo123456 雪币： 241 活跃值： (175) 能力值： ( LV8，RANK：130 ) 在线值：发帖 14 回帖 96 粉丝 0 关注私信	popo123456 3 3 楼还原00433999处代码代码，EB FE改为55 8B，接下来就要按照这2个字节是怎么得到的哪？其实也就是未脱壳的文件入口点的代码,因为附加时OD修改入口点代码变成了死循环,因此附加后你要修复,具体代码是什么,你可以用OD打开未脱壳的文件,看一看就知道了. 2004-10-1 17:32 0
limee 雪币： 1540 活跃值： (2807) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 976 粉丝 1 关注私信	limee 4 楼可以用WriteProcessMemory断到吗？如果入口点不是 push ebp mov esp,ebp的指令该怎么办？最初由 popo123456 发布其实也就是未脱壳的文件入口点的代码,因为附加时OD修改入口点代码变成了死循环,因此附加后你要修复,具体代码是什么,你可以用OD打开未脱壳的文件,看一看就知道了. 2004-10-1 18:13 0
popo123456 雪币： 241 活跃值： (175) 能力值： ( LV8，RANK：130 ) 在线值：发帖 14 回帖 96 粉丝 0 关注私信	popo123456 3 5 楼呵呵,是我说不清楚,还是你理解不了. 1.可以用WriteProcessMemory断到吗？壳的入口点还用下断吗? 2.如果入口点不是 push ebp mov esp,ebp的指令该怎么办？怎么办?是谁你就写谁嘛 2004-10-1 19:02 0
limee 雪币： 1540 活跃值： (2807) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 976 粉丝 1 关注私信	limee 6 楼 WriteProcessMemory写入EB FE，这个指令应该可以断到的！还有，在Win2k下，找magic jmp你的方法不能用。最初由 popo123456 发布呵呵,是我说不清楚,还是你理解不了. 1.可以用WriteProcessMemory断到吗？壳的入口点还用下断吗? ........ 2004-10-1 20:23 0
popo123456 雪币： 241 活跃值： (175) 能力值： ( LV8，RANK：130 ) 在线值：发帖 14 回帖 96 粉丝 0 关注私信	popo123456 3 7 楼我就是在ＸＰ下脱的，怎么不能用？ 2004-10-1 20:36 0
骨灰C 雪币： 217 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 121 粉丝 2 关注私信	骨灰C 8 楼未修改前可以看到啊　558B　所以嘿嘿 2004-10-1 20:41 0
limee 雪币： 1540 活跃值： (2807) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 976 粉丝 1 关注私信	limee 9 楼 Attach进程后，对GetModuleHandleA下硬件断点。然后设置忽略一切的异常处理后，按F9几次后，程序就运行了。每一次断下后，我都Alt F9回到程序领空查看。并没有看到你说的magic jmp的代码。 armadillo标准壳在Win2k该怎么找magic jmp, 或者有armdump工具直接dump后修复。我觉得可以找OEP和IAT以及它的SIZE, 然后用专用工具Dump修复。谁能在2K下找找那个magic jmp. 最初由 popo123456 发布我就是在ＸＰ下脱的，怎么不能用？ 2004-10-1 21:33 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (8)
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 2 楼 55 push ebp 8BEC mov ebp,esp 2004-10-1 17:07 0
popo123456 雪币： 241 活跃值： (175) 能力值： ( LV8，RANK：130 ) 在线值：发帖 14 回帖 96 粉丝 0 关注私信	popo123456 3 3 楼还原00433999处代码代码，EB FE改为55 8B，接下来就要按照这2个字节是怎么得到的哪？其实也就是未脱壳的文件入口点的代码,因为附加时OD修改入口点代码变成了死循环,因此附加后你要修复,具体代码是什么,你可以用OD打开未脱壳的文件,看一看就知道了. 2004-10-1 17:32 0
limee 雪币： 1540 活跃值： (2807) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 976 粉丝 1 关注私信	limee 4 楼可以用WriteProcessMemory断到吗？如果入口点不是 push ebp mov esp,ebp的指令该怎么办？最初由 popo123456 发布其实也就是未脱壳的文件入口点的代码,因为附加时OD修改入口点代码变成了死循环,因此附加后你要修复,具体代码是什么,你可以用OD打开未脱壳的文件,看一看就知道了. 2004-10-1 18:13 0
popo123456 雪币： 241 活跃值： (175) 能力值： ( LV8，RANK：130 ) 在线值：发帖 14 回帖 96 粉丝 0 关注私信	popo123456 3 5 楼呵呵,是我说不清楚,还是你理解不了. 1.可以用WriteProcessMemory断到吗？壳的入口点还用下断吗? 2.如果入口点不是 push ebp mov esp,ebp的指令该怎么办？怎么办?是谁你就写谁嘛 2004-10-1 19:02 0
limee 雪币： 1540 活跃值： (2807) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 976 粉丝 1 关注私信	limee 6 楼 WriteProcessMemory写入EB FE，这个指令应该可以断到的！还有，在Win2k下，找magic jmp你的方法不能用。最初由 popo123456 发布呵呵,是我说不清楚,还是你理解不了. 1.可以用WriteProcessMemory断到吗？壳的入口点还用下断吗? ........ 2004-10-1 20:23 0
popo123456 雪币： 241 活跃值： (175) 能力值： ( LV8，RANK：130 ) 在线值：发帖 14 回帖 96 粉丝 0 关注私信	popo123456 3 7 楼我就是在ＸＰ下脱的，怎么不能用？ 2004-10-1 20:36 0
骨灰C 雪币： 217 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 121 粉丝 2 关注私信	骨灰C 8 楼未修改前可以看到啊　558B　所以嘿嘿 2004-10-1 20:41 0
limee 雪币： 1540 活跃值： (2807) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 976 粉丝 1 关注私信	limee 9 楼 Attach进程后，对GetModuleHandleA下硬件断点。然后设置忽略一切的异常处理后，按F9几次后，程序就运行了。每一次断下后，我都Alt F9回到程序领空查看。并没有看到你说的magic jmp的代码。 armadillo标准壳在Win2k该怎么找magic jmp, 或者有armdump工具直接dump后修复。我觉得可以找OEP和IAT以及它的SIZE, 然后用专用工具Dump修复。谁能在2K下找找那个magic jmp. 最初由 popo123456 发布我就是在ＸＰ下脱的，怎么不能用？ 2004-10-1 21:33 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复