首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 加壳脱壳
    3. 发新帖
老贴重贴:请脱壳,并给出程序的密码
发表于: 2004-10-3 00:50 4454

老贴重贴:请脱壳,并给出程序的密码

limee 活跃值
2004-10-3 00:50
4454
这个帖子是我8月份刚学脱壳的时候贴的。
当时水平很菜,现在稍微有了点进步。
这个壳是armadillo 3.05加的标准壳。
我翻阅了大量的文章,终于能找到OEP了,
并且把程序dump出来了!
现在我把dump出来的文件和壳文件传上来。
因为,我始终无法找对magic jmp,找了几个
地方都不对。论坛对于低版本的arma的文章
比较少.我只找到了3.05这个版本来做练习。
我脱壳的平台是Win2K

学脱armadillo真不容易啊!不过在反向的过程中
也学到了不少东西。使我知道,原来我对Windows
的理解是那样的肤浅。
有人可以给我看一看吗?

fly已经给出了答案:

Armadillo 标准壳
OEP: 0000C382
IATRVA: 00026000
IATSize: 00000540

固定注册码:tHiSiStHESeRIal

附件:DDD_.rar

附件:Crack001.rar [/URL]

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 1
支持
分享
最新回复 (3)
popo123456
雪    币: 241
活跃值: (175)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
私信
2
OEP,IATRVA,IATSIZE以及注册码和FLY的一样.需要注意的是Magic Jump,在如下位置:
下断点:BP GetModuleHandleA+5,观察堆栈变化:
.......

0012C258  |00C05331   返回到 00C05331 来自 kernel32.GetModuleHandleA
0012C25C  |0012C394   ASCII "advapi32.dll"

0012C3C0  |00C05B68   返回到 00C05B68 来自 kernel32.GetModuleHandleA

此时ALT+F9返回如下:
00C05B68     3945 08            cmp dword ptr ss:[ebp+8],eax                    ; Crack001.00400000
00C05B6B     75 07              jnz short 00C05B74
00C05B6D     B9 E873C200        mov ecx,0C273E8
00C05B72     EB 52              jmp short 00C05BC6
00C05B74     393D E079C200      cmp dword ptr ds:[C279E0],edi
00C05B7A     B9 E079C200        mov ecx,0C279E0
00C05B7F     0F84 93000000      je 00C05C18<===Magic Jump,修改为JMP

00C05B85     8B35 60D8C200      mov esi,dword ptr ds:[C2D860]

脱壳后的文件:附件:Crack001.rar
2004-10-3 09:25
0
流哥
雪    币: 140
活跃值: (70)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
学习中,我还看不懂
2004-10-3 11:50
0
limee
雪    币: 1540
活跃值: (2807)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
脱armadillo还是要懂得它的原理,
会分析才好。
我会仔细分析这个壳的IAT的原理的,
否则的话,换了别的版本,我又不会了!
现在我已经知其然了,然后我要想办法
知其所以然

最初由 popo123456 发布
OEP,IATRVA,IATSIZE以及注册码和FLY的一样.需要注意的是Magic Jump,在如下位置:
下断点:BP GetModuleHandleA+5,观察堆栈变化:
.......

0012C258 |00C05331 返回到 00C05331 来自 kernel32.GetModuleHandleA
........
2004-10-3 15:14
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//