首页
社区
课程
招聘
[旧帖] [求助]穿山甲的壳,高手帮忙,谢谢! 0.00雪花
发表于: 2009-3-13 13:27 2900

[旧帖] [求助]穿山甲的壳,高手帮忙,谢谢! 0.00雪花

2009-3-13 13:27
2900
PEID查到:Armadillo 2.51 - 3.xx DLL Stub -> Silicon Realms Toolworks
HE OutputDebugStringA -----------Shift+F9 如下:
0006EAB8  00B74297  /CALL 到 OutputDebugStringA 来自 00B74291
0006EABC  0006F408  \String = "%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s"
判断应该是Armadillo4.X的壳。
BP GetModuleHandleA+5--------Shift+F9 运行中断后,找到堆栈:
0006978C  |00B75838  返回到 00B75838 来自 kernel32.GetModuleHandleA
00069790  |00B89BAC  ASCII "kernel32.dll"
00069794  |00B8AE48  ASCII "VirtualAlloc"
00069798  |7C9210E0  ntdll.RtlLeaveCriticalSection

0006978C  |00B75855  返回到 00B75855 来自 kernel32.GetModuleHandleA
00069790  |00B89BAC  ASCII "kernel32.dll"
00069794  |00B8AE3C  ASCII "VirtualFree"
00069798  |7C9210E0  ntdll.RtlLeaveCriticalSection

取消断点---返回后
00B652CA    8B0D 3C1EB900  MOV ECX,DWORD PTR DS:[B91E3C]
00B652D0    89040E          MOV DWORD PTR DS:[ESI+ECX],EAX
00B652D3    A1 3C1EB900    MOV EAX,DWORD PTR DS:[B91E3C]
00B652D8    391C06          CMP DWORD PTR DS:[ESI+EAX],EBX
00B652DB    75 16          JNZ SHORT 00B652F3
00B652DD    8D85 B4FEFFFF  LEA EAX,DWORD PTR SS:[EBP-14C]
00B652E3    50              PUSH EAX
00B652E4    FF15 B842B800  CALL DWORD PTR DS:[B842B8]              ; kernel32.LoadLibraryA
00B652EA    8B0D 3C1EB900  MOV ECX,DWORD PTR DS:[B91E3C]
00B652F0    89040E          MOV DWORD PTR DS:[ESI+ECX],EAX
00B652F3    A1 3C1EB900    MOV EAX,DWORD PTR DS:[B91E3C]
00B652F8    391C06          CMP DWORD PTR DS:[ESI+EAX],EBX
00B652FB    0F84 2F010000  JE 00B65430                                                        ;JMP 00B65430
00B65301    33C9            XOR ECX,ECX
00B65303    8B07            MOV EAX,DWORD PTR DS:[EDI]
00B65305    3918            CMP DWORD PTR DS:[EAX],EBX
00B65307    74 06          JE SHORT 00B6530F                                    
00B65309    41              INC ECX
00B6530A    83C0 0C        ADD EAX,0C
00B6530D  ^ EB F6          JMP SHORT 00B65305

  JE 00B65430改JMP 00B65430

。。。。。。。。。。。。

脱壳简单,但是重定位总是弄错,就不发了下面的操作了,希望高手能帮助脱壳并修复下,感谢!

如果您脱壳了希望发到我的邮箱:  799591917@qq.com

第一次求助,希望高手不要吝啬,谢谢了!

下面是加壳的DLL文件下载地址:

http://panidlg.ys168.com/  网络硬盘里只有一个文件RS.dll,就是这个,谢谢高手!

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (2)
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
或者高手给予我解答,万分感谢
2009-3-13 13:29
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
曾经查看过一些学习资料,重定位查找
PUSH EAX
XCHG CX,CX
POP EAX
STC

这个,查不到,汗!估计是加壳方式不同之类,我菜鸟,希望高手指点!
2009-3-13 13:30
0
游客
登录 | 注册 方可回帖
返回
//