[请教]fly大哥的一次脱壳arm大法教程中的问题-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (12)
fxyang 雪币： 2199 活跃值： (1975) 能力值： ( LV12，RANK：810 ) 在线值：发帖 27 回帖 267 粉丝 79 关注私信	fxyang 20 2 楼 fly在路上看这里： 2004-10-31 13:11 0
vrowang123 雪币： 257 活跃值： (56) 能力值： ( LV5，RANK：60 ) 在线值：发帖 75 回帖 586 粉丝 0 关注私信	vrowang123 1 3 楼谢谢，不过为什么，不过为什么我的程序还是不能运行？（打不开？）是Armadillo 3.00a-3.61加的 magic jmp也找到了，也修改过了，为什么呢？ 2004-10-31 13:17 0
fxyang 雪币： 2199 活跃值： (1975) 能力值： ( LV12，RANK：810 ) 在线值：发帖 27 回帖 267 粉丝 79 关注私信	fxyang 20 4 楼其他呢？远地址jmp、CC 等 2004-10-31 13:18 0
vrowang123 雪币： 257 活跃值： (56) 能力值： ( LV5，RANK：60 ) 在线值：发帖 75 回帖 586 粉丝 0 关注私信	vrowang123 1 5 楼最初由 fxyang 发布其他呢？远地址jmp、CC 等？？教程中没有提到阿？是不是dump出来要修改entrypoint? 我的过程是这样的： 1。使程序把自己当成子进程运行，成功 2。找到Magic Jump 3。改成jmp xxxxxxxx 3.搜索salc 4.在上面的jmp下断，F9，断住，返回Magic Jump，修改回原来的 5。alt+M 401000内存断点，运行，断住，清除所有断点 6。lordPE，纠正ImageSize，full dump 7.dump出的程序无法运行（什么反应都没有） 2004-10-31 13:23 0
fxyang 雪币： 2199 活跃值： (1975) 能力值： ( LV12，RANK：810 ) 在线值：发帖 27 回帖 267 粉丝 79 关注私信	fxyang 20 6 楼跟踪看看，或许还有别的。就iat表的处理就可能有乱序排列和iat表远地址存放等技术。 2004-10-31 13:46 0
vrowang123 雪币： 257 活跃值： (56) 能力值： ( LV5，RANK：60 ) 在线值：发帖 75 回帖 586 粉丝 0 关注私信	vrowang123 1 7 楼我一开始是按照别人的教程作的，但是dump出来不行，接着又用fly的方法，还是一样打不开程序但是那个写教程的人就能dump出来连接地址：http://www.chinadfcg.com/viewthread.php?tid=3381 望看看，arm我已经研究了很长时间了，还是脱不出，谢谢！ 2004-10-31 13:50 0
vrowang123 雪币： 257 活跃值： (56) 能力值： ( LV5，RANK：60 ) 在线值：发帖 75 回帖 586 粉丝 0 关注私信	vrowang123 1 8 楼还有一点,脱掉后查壳还是 Armadillo 3.00a - 3.61 -> Silicon Realms Toolworks 2004-10-31 17:01 0
cc&cc 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 2 关注私信	cc&cc 9 楼 fly的大法在那里有？ 2004-11-1 01:07 0
xiluoyou 雪币： 241 活跃值： (160) 能力值： ( LV2，RANK：10 ) 在线值：发帖 26 回帖 238 粉丝 1 关注私信	xiluoyou 10 楼最初由 fxyang 发布 fly在路上看这里：这个有什么用啊？ 2004-11-1 12:46 0
vrowang123 雪币： 257 活跃值： (56) 能力值： ( LV5，RANK：60 ) 在线值：发帖 75 回帖 586 粉丝 0 关注私信	vrowang123 1 11 楼最初由 cc&cc 发布 fly的大法在那里有？密界脱壳文集第一版 2004-11-2 15:37 0
wangli_com 雪币： 282 活跃值： (233) 能力值： ( LV9，RANK：210 ) 在线值：发帖 11 回帖 111 粉丝 0 关注私信	wangli_com 5 12 楼哈哈，我来回答你吧，我刚开始学脱Armadillo壳的时候就是跟着这篇教程学的，脱完以后，显示初始化错误，My God！为什么啊，也问过人，郁闷了好一阵子，其实这个壳的确是一个简单的双进程壳，它有一个动态连接库文件叫 BCGCBPRO64.dll是用aspr加的壳，你把它用自动脱壳工具脱了，你的文件就能运行了，ok! 2004-11-3 14:19 0
vrowang123 雪币： 257 活跃值： (56) 能力值： ( LV5，RANK：60 ) 在线值：发帖 75 回帖 586 粉丝 0 关注私信	vrowang123 1 13 楼还是不行 2004-11-5 18:16 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (12)
fxyang 雪币： 2199 活跃值： (1975) 能力值： ( LV12，RANK：810 ) 在线值：发帖 27 回帖 267 粉丝 79 关注私信	fxyang 20 2 楼 fly在路上看这里： 2004-10-31 13:11 0
vrowang123 雪币： 257 活跃值： (56) 能力值： ( LV5，RANK：60 ) 在线值：发帖 75 回帖 586 粉丝 0 关注私信	vrowang123 1 3 楼谢谢，不过为什么，不过为什么我的程序还是不能运行？（打不开？）是Armadillo 3.00a-3.61加的 magic jmp也找到了，也修改过了，为什么呢？ 2004-10-31 13:17 0
fxyang 雪币： 2199 活跃值： (1975) 能力值： ( LV12，RANK：810 ) 在线值：发帖 27 回帖 267 粉丝 79 关注私信	fxyang 20 4 楼其他呢？远地址jmp、CC 等 2004-10-31 13:18 0
vrowang123 雪币： 257 活跃值： (56) 能力值： ( LV5，RANK：60 ) 在线值：发帖 75 回帖 586 粉丝 0 关注私信	vrowang123 1 5 楼最初由 fxyang 发布其他呢？远地址jmp、CC 等？？教程中没有提到阿？是不是dump出来要修改entrypoint? 我的过程是这样的： 1。使程序把自己当成子进程运行，成功 2。找到Magic Jump 3。改成jmp xxxxxxxx 3.搜索salc 4.在上面的jmp下断，F9，断住，返回Magic Jump，修改回原来的 5。alt+M 401000内存断点，运行，断住，清除所有断点 6。lordPE，纠正ImageSize，full dump 7.dump出的程序无法运行（什么反应都没有） 2004-10-31 13:23 0
fxyang 雪币： 2199 活跃值： (1975) 能力值： ( LV12，RANK：810 ) 在线值：发帖 27 回帖 267 粉丝 79 关注私信	fxyang 20 6 楼跟踪看看，或许还有别的。就iat表的处理就可能有乱序排列和iat表远地址存放等技术。 2004-10-31 13:46 0
vrowang123 雪币： 257 活跃值： (56) 能力值： ( LV5，RANK：60 ) 在线值：发帖 75 回帖 586 粉丝 0 关注私信	vrowang123 1 7 楼我一开始是按照别人的教程作的，但是dump出来不行，接着又用fly的方法，还是一样打不开程序但是那个写教程的人就能dump出来连接地址：http://www.chinadfcg.com/viewthread.php?tid=3381 望看看，arm我已经研究了很长时间了，还是脱不出，谢谢！ 2004-10-31 13:50 0
vrowang123 雪币： 257 活跃值： (56) 能力值： ( LV5，RANK：60 ) 在线值：发帖 75 回帖 586 粉丝 0 关注私信	vrowang123 1 8 楼还有一点,脱掉后查壳还是 Armadillo 3.00a - 3.61 -> Silicon Realms Toolworks 2004-10-31 17:01 0
cc&cc 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 2 关注私信	cc&cc 9 楼 fly的大法在那里有？ 2004-11-1 01:07 0
xiluoyou 雪币： 241 活跃值： (160) 能力值： ( LV2，RANK：10 ) 在线值：发帖 26 回帖 238 粉丝 1 关注私信	xiluoyou 10 楼最初由 fxyang 发布 fly在路上看这里：这个有什么用啊？ 2004-11-1 12:46 0
vrowang123 雪币： 257 活跃值： (56) 能力值： ( LV5，RANK：60 ) 在线值：发帖 75 回帖 586 粉丝 0 关注私信	vrowang123 1 11 楼最初由 cc&cc 发布 fly的大法在那里有？密界脱壳文集第一版 2004-11-2 15:37 0
wangli_com 雪币： 282 活跃值： (233) 能力值： ( LV9，RANK：210 ) 在线值：发帖 11 回帖 111 粉丝 0 关注私信	wangli_com 5 12 楼哈哈，我来回答你吧，我刚开始学脱Armadillo壳的时候就是跟着这篇教程学的，脱完以后，显示初始化错误，My God！为什么啊，也问过人，郁闷了好一阵子，其实这个壳的确是一个简单的双进程壳，它有一个动态连接库文件叫 BCGCBPRO64.dll是用aspr加的壳，你把它用自动脱壳工具脱了，你的文件就能运行了，ok! 2004-11-3 14:19 0
vrowang123 雪币： 257 活跃值： (56) 能力值： ( LV5，RANK：60 ) 在线值：发帖 75 回帖 586 粉丝 0 关注私信	vrowang123 1 13 楼还是不行 2004-11-5 18:16 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复