[求助]Armadillo4.40(Custom Build)脱壳-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] [求助]Armadillo4.40(Custom Build)脱壳 0.00雪花

发表于: 2007-11-29 12:00 3602

[旧帖] [求助]Armadillo4.40(Custom Build)脱壳 0.00雪花

grassdrago 活跃值

2007-11-29 12:00

3602

查壳:
!- Protected Armadillo
Version 4.40.0250 (Custom Build)
Protection system (Professional)
!- <Protection Options>
Standard protection or Minimum protection
Enable Import Table Elimination
Enable Strategic Code Splicing
!- <Backup Key Options>
Fixed Backup Keys
!- <Compression Options>
Best/Slowest Compression
!- <Other Options>

第一步:利用Armadillo Standard Unpack + Strategic Code Splicing.txt 脚本找OEP

004B21F0 55             push ebp                            ; <- OEP
004B21F1 8BEC          mov    ebp, esp
004B21F3 83C4 F0       add    esp, -10
004B21F6 B8 801D4B00    mov    eax, 004B1D80
004B21FB E8 1049F5FF    call 00406B10
004B2200 A1 78634B00    mov    eax, dword ptr [4B6378]
004B2205 8B00          mov    eax, dword ptr [eax]
004B2207 E8 D02EFBFF    call 004650DC
004B220C 8B0D 38654B00 mov    ecx, dword ptr [4B6538]       ; Loader.004B8030
004B2212 A1 78634B00    mov    eax, dword ptr [4B6378]
004B2217 8B00          mov    eax, dword ptr [eax]
004B2219 8B15 5C004B00 mov    edx, dword ptr [4B005C]       ; Loader.004B00A8
004B221F E8 D02EFBFF    call 004650F4
004B2224 8B0D 98654B00 mov    ecx, dword ptr [4B6598]       ; Loader.004B8028
004B222A A1 78634B00    mov    eax, dword ptr [4B6378]
004B222F 8B00          mov    eax, dword ptr [eax]
004B2231 8B15 E8EC4A00 mov    edx, dword ptr [4AECE8]       ; Loader.004AED34
004B2237 E8 B82EFBFF    call 004650F4
004B223C A1 78634B00    mov    eax, dword ptr [4B6378]
004B2241 8B00          mov    eax, dword ptr [eax]
004B2243 E8 2C2FFBFF    call 00465174
004B2248 E8 7722F5FF    call 004044C4

第二步:ArmInlinev0.96f 修得IAT

-----Rebasing IAT----
Process memory buffered successfully.
3 DLL calls found total.
Analysing....

出现提示框: Referenced IAT entry points to an invalid location:00000000 点确定.(完了,完了,对吧)

第三步:ImportREC.exe无法转储了,没东西.
第四步: ......
第.............

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

收藏・0

免费・0

支持

最新回复 (1)
grassdrago 雪币： 337 活跃值： (74) 能力值： ( LV9，RANK：140 ) 在线值：发帖 9 回帖 55 粉丝 5 关注私信	grassdrago 3 2 楼我的这个求助帖,怎么在新兵版块中找不到了? 2007-12-2 09:18 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

grassdrago

发帖

回帖

140

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (1)
grassdrago 雪币： 337 活跃值： (74) 能力值： ( LV9，RANK：140 ) 在线值：发帖 9 回帖 55 粉丝 5 关注私信	grassdrago 3 2 楼我的这个求助帖,怎么在新兵版块中找不到了? 2007-12-2 09:18 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复