首页
社区
课程
招聘
[旧帖] [求助]Armadillo 脱壳求助 0.00雪花
发表于: 2008-9-29 11:10 3989

[旧帖] [求助]Armadillo 脱壳求助 0.00雪花

2008-9-29 11:10
3989
小弟手上有个Armadillo 加壳的外挂,看的Armadillo 脱壳教程也不算少了,可是怎么也脱不掉,关键是找不到 magic jump。。。。实在太郁闷了
先bp OpenMutexA,然后在401000键入欺骗代码。
之后he GetModuleHandleA下断时,堆栈如下:
0012FF38   004B6ED8  /CALL 到 GetModuleHandleA 来自 loginTJ2.004B6ED2
0012FF3C   00000000  \pModule = NULL
0012FF40   00000000
0012FF44   00141F1C

*******************************************
0012BB90   004ABB4B  /CALL 到 GetModuleHandleA 来自 loginTJ2.004ABB45
0012BB94   00000000  \pModule = NULL
0012BB98   0012FF2C
0012BB9C   00000000

*******************************************
0012BCB0   004A59E6  /CALL 到 GetModuleHandleA
0012BCB4   00000000  \pModule = NULL
0012BCB8   0012FF2C
0012BCBC   00000000

*******************************************
0012BB70   600043AC  /CALL 到 GetModuleHandleA 来自 kmon.600043A6
0012BB74   600603E0  \pModule = "ntdll.dll"
0012BB78   00000084

*******************************************
00129E08   7C81FD9F  /CALL 到 GetModuleHandleA 来自 kernel32.7C81FD9A
00129E0C   00000000  \pModule = NULL
00129E10   003C5FF0
00129E14   00000000
看调用GetModuleHandleA 的位置,要么在code段中调用,要么是系统领空,根本没在壳中代码出现过。而更莫名的事情在后头。
在4A6D8B之后连续出现3个 call GetModuleHandleA感觉很莫名,网上的教程上没提到过
004A6D83   > \6A 00         push    0                                ; /pModule = NULL
004A6D85   .  FF15 34C04C00 call    [<&KERNEL32.GetModuleHandleA>]   ; \GetModuleHandleA
004A6D8B   .  8985 1CFFFFFF mov     [ebp-E4], eax
004A6D91   .  8B85 1CFFFFFF mov     eax, [ebp-E4]
004A6D97   .  8B8D 1CFFFFFF mov     ecx, [ebp-E4]
004A6D9D   .  0348 3C       add     ecx, [eax+3C]
004A6DA0   .  898D 00FEFFFF mov     [ebp-200], ecx
004A6DA6   .  6A 00         push    0                                ; /pModule = NULL
004A6DA8   .  FF15 34C04C00 call    [<&KERNEL32.GetModuleHandleA>]   ; \GetModuleHandleA
004A6DAE   .  8B95 00FEFFFF mov     edx, [ebp-200]
004A6DB4   .  0342 28       add     eax, [edx+28]
004A6DB7   .  8945 C4       mov     [ebp-3C], eax
004A6DBA   .  6A 00         push    0                                ; /pModule = NULL
004A6DBC   .  FF15 34C04C00 call    [<&KERNEL32.GetModuleHandleA>]   ; \GetModuleHandleA

这段代码也在code段中,之后再f9程序就跑起来了。。。。
程序中GetModuleHandleA一共就调用了这几次,我曾经每个调用的位置都仔细察看了下,没发现有magic jump的任何迹象。
断断续续想了很久了,一直想不出来为什么。还有我想过,难道因为我的系统是xp sp3,是不是会有所影响。。。。系统函数调用之类的会有所改变?
球高手帮下忙。。。。
还有,上传文件求脱壳会不会锁贴之类的。。。

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (12)
雪    币: 210
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
自己顶一下~
2008-9-29 15:05
0
雪    币: 295
活跃值: (41)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
3
应该是5.4版的 这个版本貌似 magic jump不管用 你可以单步跟下 难度不大
2008-9-29 15:11
0
雪    币: 210
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
不会把。。。用arma find protected 查是3.78的版本
2008-9-29 15:28
0
雪    币: 210
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
干脆把文件传上来吧,大家有空帮忙看看~谢了
上传的附件:
2008-9-29 15:31
0
雪    币: 204
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
怎么没查到壳?
2008-9-29 19:31
0
雪    币: 204
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
★ 目标是Armadillo保护
保护系统级别为【专业版】
◆所用到的保护模式有◆
屏蔽调试器
双进程模式
【密钥备份设置】
可变的备份密钥
【程序压缩方式设置】
较好/较慢的压缩方式
【其它保护设置】
★ Version 4.66 

OEP:0046E70C

脱壳文件:
上传的附件:
2008-9-29 20:34
0
雪    币: 210
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
非常感谢前辈解答~,但最好请peeler前辈详细谈谈其中步骤,是小弟哪步步骤做错了?还是有什么要领没抓住,
还有,为什么我的arm protect finder查出来是这样?难道是arm protect finder的版本问题?
======== 29-09-2008 15:28:08 ========
C:\Documents and Settings\zc\桌面\tj2login1.2\loginTJ2.exe
★ 目标是Armadillo保护
保护系统级别为【专业版】
◆所用到的保护模式有◆
屏蔽调试器
双进程模式
【密钥备份设置】
可变的备份密钥
【程序压缩方式设置】
较好/较慢的压缩方式
【其它保护设置】
★ Version 3.78 Beta-1 16Sep2004
2008-9-29 21:02
0
雪    币: 210
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
高手再帮忙看看,小弟菜啊
2008-9-29 22:52
0
雪    币: 317
活跃值: (93)
能力值: ( LV9,RANK:140 )
在线值:
发帖
回帖
粉丝
10
给你脱了一份!
上传的附件:
2008-9-29 23:17
0
雪    币: 427
活跃值: (65)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
11
脱壳机脱掉了
2008-9-30 00:21
0
雪    币: 210
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
小弟主要是想学的是这个壳是怎样脱的,结果倒无所谓。。。。
求大大们详细说说这个壳是怎么脱的,再说,这个加壳的东西本身也没什么用,仅仅是练习用的
2008-9-30 14:21
0
雪    币: 210
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
求助 ,高手说以下步骤,主要是magic jump找不到
2008-10-1 16:48
0
游客
登录 | 注册 方可回帖
返回
//