请各位大哥赐教，脱Armadillo时远地址jmp与iat乱序问题-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (7)
yesky1 雪币： 251 活跃值： (260) 能力值： ( LV12，RANK：210 ) 在线值：发帖 6 回帖 59 粉丝 2 关注私信	yesky1 5 2 楼远地址跳转参见 http://grinders.withernsea.com/tutorials/file_info/download1.php?file=Armadillo_Antidumps_By_Eggi.rar 不过它的办法有些罗嗦，可以直接下断VirtualAlloc，查看申请地址值，如果比较大就需要注意了，返回后代码类似下面 00DE2612 6A 40 PUSH 40 00DE2614 68 00200000 PUSH 2000 00DE2619 FFB5 70E6FFFF PUSH DWORD PTR SS:[EBP-1990] 00DE261F FF35 3092DF00 PUSH DWORD PTR DS:[DF9230] 00DE2625 FF15 A0B1DE00 CALL DWORD PTR DS:[DEB1A0] ; kernel32.VirtualAlloc 00DE262B 8985 78E6FFFF MOV DWORD PTR SS:[EBP-1988],EAX 00DE2631 83BD 78E6FFFF 0>CMP DWORD PTR SS:[EBP-1988],0 00DE2638 74 33 JE SHORT 00DE266D 00DE263A 6A 40 PUSH 40 00DE263C 68 00100000 PUSH 1000 00DE2641 FFB5 70E6FFFF PUSH DWORD PTR SS:[EBP-1990] 00DE2647 FF35 3092DF00 PUSH DWORD PTR DS:[DF9230] 00DE264D FF15 A0B1DE00 CALL DWORD PTR DS:[DEB1A0] ; kernel32.VirtualAlloc 00DE2653 8985 78E6FFFF MOV DWORD PTR SS:[EBP-1988],EAX //保存codesplit 首地址在这里断下修改eax值到一较低地址 00DE2659 83BD 78E6FFFF 0>CMP DWORD PTR SS:[EBP-1988],0 00DE2660 74 0B JE SHORT 00DE266D iat乱序可以看看Ricardo Narvaja的教程203-208ARMADILLO WITH DESTRUCTION OF TABLE 不过它的iat最后使用了一段smc代码完成正常iat到乱序iat的转换其实完全可以用一段简单脚本修改代码段，来修复iat函数的调用有空我会整理一篇iat乱序的修复示例 codesplit现在没看到好的修复办法，那n重循环看起来就头痛。 2004-10-20 13:23 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 3 楼 http://grinders.withernsea.com/tuto...mps_By_Eggi.rar 无法下载，如果不大的话，麻烦兄弟传在这里 2004-10-20 13:44 0
yesky1 雪币： 251 活跃值： (260) 能力值： ( LV12，RANK：210 ) 在线值：发帖 6 回帖 59 粉丝 2 关注私信	yesky1 5 4 楼汗，没注意到是个死链 Armadillo_Antidumps_By_Eggi 附件:Arm_Eggi.part1.rar 附件:Arm_Eggi.part2.rar 2004-10-20 13:58 0
yesky1 雪币： 251 活跃值： (260) 能力值： ( LV12，RANK：210 ) 在线值：发帖 6 回帖 59 粉丝 2 关注私信	yesky1 5 5 楼 Ricardo Narvaja的教程203-208ARMADILLO WITH DESTRUCTION OF TABLE 我用翻译软件转到英语了，凑合着看吧，好在Ricardo的教程里图比较多 :) 附件:arm203_208.part1.rar 附件:arm203_208.part2.rar 附件:arm203_208.part3.rar 附件:arm203_208.part4.rar 2004-10-20 14:05 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 6 楼 thanks :D 期待兄弟的实例教程 2004-10-20 14:35 0
XCyber 雪币： 220 活跃值： (55) 能力值： ( LV6，RANK：90 ) 在线值：发帖 4 回帖 39 粉丝 0 关注私信	XCyber 2 7 楼感激不尽努力学习中... 2004-10-20 14:51 0
baby 雪币： 250 活跃值： (105) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 194 粉丝 1 关注私信	baby 8 楼好文章，可惜我不懂英文。哪位大侠有时间翻译一下 2004-10-21 09:55 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (7)
yesky1 雪币： 251 活跃值： (260) 能力值： ( LV12，RANK：210 ) 在线值：发帖 6 回帖 59 粉丝 2 关注私信	yesky1 5 2 楼远地址跳转参见 http://grinders.withernsea.com/tutorials/file_info/download1.php?file=Armadillo_Antidumps_By_Eggi.rar 不过它的办法有些罗嗦，可以直接下断VirtualAlloc，查看申请地址值，如果比较大就需要注意了，返回后代码类似下面 00DE2612 6A 40 PUSH 40 00DE2614 68 00200000 PUSH 2000 00DE2619 FFB5 70E6FFFF PUSH DWORD PTR SS:[EBP-1990] 00DE261F FF35 3092DF00 PUSH DWORD PTR DS:[DF9230] 00DE2625 FF15 A0B1DE00 CALL DWORD PTR DS:[DEB1A0] ; kernel32.VirtualAlloc 00DE262B 8985 78E6FFFF MOV DWORD PTR SS:[EBP-1988],EAX 00DE2631 83BD 78E6FFFF 0>CMP DWORD PTR SS:[EBP-1988],0 00DE2638 74 33 JE SHORT 00DE266D 00DE263A 6A 40 PUSH 40 00DE263C 68 00100000 PUSH 1000 00DE2641 FFB5 70E6FFFF PUSH DWORD PTR SS:[EBP-1990] 00DE2647 FF35 3092DF00 PUSH DWORD PTR DS:[DF9230] 00DE264D FF15 A0B1DE00 CALL DWORD PTR DS:[DEB1A0] ; kernel32.VirtualAlloc 00DE2653 8985 78E6FFFF MOV DWORD PTR SS:[EBP-1988],EAX //保存codesplit 首地址在这里断下修改eax值到一较低地址 00DE2659 83BD 78E6FFFF 0>CMP DWORD PTR SS:[EBP-1988],0 00DE2660 74 0B JE SHORT 00DE266D iat乱序可以看看Ricardo Narvaja的教程203-208ARMADILLO WITH DESTRUCTION OF TABLE 不过它的iat最后使用了一段smc代码完成正常iat到乱序iat的转换其实完全可以用一段简单脚本修改代码段，来修复iat函数的调用有空我会整理一篇iat乱序的修复示例 codesplit现在没看到好的修复办法，那n重循环看起来就头痛。 2004-10-20 13:23 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 3 楼 http://grinders.withernsea.com/tuto...mps_By_Eggi.rar 无法下载，如果不大的话，麻烦兄弟传在这里 2004-10-20 13:44 0
yesky1 雪币： 251 活跃值： (260) 能力值： ( LV12，RANK：210 ) 在线值：发帖 6 回帖 59 粉丝 2 关注私信	yesky1 5 4 楼汗，没注意到是个死链 Armadillo_Antidumps_By_Eggi 附件:Arm_Eggi.part1.rar 附件:Arm_Eggi.part2.rar 2004-10-20 13:58 0
yesky1 雪币： 251 活跃值： (260) 能力值： ( LV12，RANK：210 ) 在线值：发帖 6 回帖 59 粉丝 2 关注私信	yesky1 5 5 楼 Ricardo Narvaja的教程203-208ARMADILLO WITH DESTRUCTION OF TABLE 我用翻译软件转到英语了，凑合着看吧，好在Ricardo的教程里图比较多 :) 附件:arm203_208.part1.rar 附件:arm203_208.part2.rar 附件:arm203_208.part3.rar 附件:arm203_208.part4.rar 2004-10-20 14:05 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 6 楼 thanks :D 期待兄弟的实例教程 2004-10-20 14:35 0
XCyber 雪币： 220 活跃值： (55) 能力值： ( LV6，RANK：90 ) 在线值：发帖 4 回帖 39 粉丝 0 关注私信	XCyber 2 7 楼感激不尽努力学习中... 2004-10-20 14:51 0
baby 雪币： 250 活跃值： (105) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 194 粉丝 1 关注私信	baby 8 楼好文章，可惜我不懂英文。哪位大侠有时间翻译一下 2004-10-21 09:55 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复