首页
社区
课程
招聘
[旧帖] [求助] Armadillo 4.54 0.00雪花
发表于: 2008-12-4 10:38 4159

[旧帖] [求助] Armadillo 4.54 0.00雪花

2008-12-4 10:38
4159
最近我在脱一个Armadillo 4.54的壳, 流程跟网上的几个版本的差不多,避开了IAT 加密后来到 oep处,但是最后重建输入表时 ,用RCE点修复转存文件,总是显示" 无效的RVA,其不匹配节",
请问这是怎么回事啊?

然后我用diildie 1.4脱, 跟我手脱的比对了一下, oep 是对的,应该就是输入表的问题,

而且脱壳机脱的也有问题, 总是  跳到错误的地址去.

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (3)
雪    币: 424
活跃值: (10)
能力值: ( LV9,RANK:850 )
在线值:
发帖
回帖
粉丝
2
请选中rec中的新建一个节,再修复
2008-12-4 10:39
0
雪    币: 206
活跃值: (16)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
点了添加新节,可又显示 "无法为此转存文件添加新节"
2008-12-5 15:40
0
雪    币: 206
活跃值: (16)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
终于把输入表修复添加了,但还是有问题如下:

原本 4070eb call 406fe8----->   406fe8   jmp ptr [E60e38]  ;Kernel32                                                                                                    .GetModuleHandle

而我手脱的过程 跟网上的几个版本的差不多,避开了IAT 加密后来到 oep处,最后重建输入表成功

但是脱完后
     4070eb call 406fe8----->   406fe8   jmp ptr [E60e38】
     e60e38 这个内存地址为空,而不是正常的 Kernel32 .GetModuleHandle

请问大侠们:这是 没有躲过IAT加密的原因吗 ? 还是输入表的问题?
     
     我个人觉得好像是前者,但我的 过程跟网上的 完全一样,郁闷,折腾好长时间了

还请大虾们帮帮忙吧,不胜感激
2008-12-5 16:37
0
游客
登录 | 注册 方可回帖
返回
//