【文章标题】: Armadillo4.40易程序脱壳修复
【文章作者】: niliu
【软件名称】: 123.
【下载地址】: 自己搜索下载
【使用工具】: Overlay
【作者声明】: 只是感兴趣，没有其他目的。失误之处敬请诸位大侠赐教!
--------------------------------------------------------------------------------
【详细过程】
        开头不说了  PEID查为3.78-4X版   DIE查为4.40   无其他保护 就一个阻止调试器  直接用脱标准版的方法脱之。。
  
  
     直接来到修复部分.   打开脱壳后的程序 提示   Inval data in the file
  
  
            大家都认识  我就不知道了..   
  
      现在  先找一个程序  复制附加数据到脱壳后的程序上  为什么  这个问题  请看天草的教程  E程序的破解思路里有讲到.
   天草的教程里已经说的很详细了 我就不重复了  这里的主要地方 是找库函数   
  
  
     刚才看了一仅仅复制其他E的OVERLAY是不行的。。。
  E Language[Overlay].rar
  这个程序的库只有krnln.fnr  和shell.fne
  原程序有7个库文件。   
  
  解决方法 把我发的附件里面的OVERLAY复制到脱壳文件里面   然后运行一下原程序 在
  C:\Documents and Settings\用户名\Local Settings\Temp\E_4复制除了krnln.fnr和shell.fne以外的所有文件到脱壳文件的目录里就可以了
  
  不知道为什么krnln.fnr好像必须在主程序里才可以
  
  
     这个是堕落大哥讲的  说实话  我也没明白具体原理是什么...  照做  是没错的...  
  
  
    其实程序就是差附加数据  也就是E的那些库  但是加壳以后貌似找不到。。   
  
  
  
  E的程序好像都可以这样吧   找个用到的库比较多的E程序以后脱壳没有附加数据的话直接复制那个里面的应该就可以。。。
  
  我还用上面发的那个软件把一个计算器做了免杀呢。。
  
  
  
  
      堕落大哥的原话...  
  
  
  
    照做把     写个过程...  保留下来做纪念   以后碰上E程序加壳的   脱壳后不能运行  就看看这个..  - -!   大哥们都不写脱文..
  
  
    我这个小菜鸟来写一下..                   别笑.
  
  
  
--------------------------------------------------------------------------------
【经验总结】
     最近几天脱了2个E程序加穿山甲的壳   在总结了一下我查找的资料   好像  对付E程序加壳的   基本这些方法  都能
  概括了.     应该还是有不足的地方   不过我技术确实不咋滴  全靠大哥们指导    这次感谢堕落大哥的指点   感谢看雪
  论坛..  
  
--------------------------------------------------------------------------------
【版权声明】: 本文原创于看雪技术论坛, 转载请注明作者并保持文章的完整, 谢谢!

                                                       2008年03月20日 21:13:34

[注意]看雪招聘，专注安全领域的专业人才平台！