PEID查到:Armadillo 2.51 - 3.xx DLL Stub -> Silicon Realms Toolworks
HE OutputDebugStringA -----------Shift+F9 如下:
0006EAB8 00B74297 /CALL 到 OutputDebugStringA 来自 00B74291
0006EABC 0006F408 \String = "%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s"
判断应该是Armadillo4.X的壳。
BP GetModuleHandleA+5--------Shift+F9 运行中断后,找到堆栈:
0006978C |00B75838 返回到 00B75838 来自 kernel32.GetModuleHandleA
00069790 |00B89BAC ASCII "kernel32.dll"
00069794 |00B8AE48 ASCII "VirtualAlloc"
00069798 |7C9210E0 ntdll.RtlLeaveCriticalSection
0006978C |00B75855 返回到 00B75855 来自 kernel32.GetModuleHandleA
00069790 |00B89BAC ASCII "kernel32.dll"
00069794 |00B8AE3C ASCII "VirtualFree"
00069798 |7C9210E0 ntdll.RtlLeaveCriticalSection
取消断点---返回后
00B652CA 8B0D 3C1EB900 MOV ECX,DWORD PTR DS:[B91E3C]
00B652D0 89040E MOV DWORD PTR DS:[ESI+ECX],EAX
00B652D3 A1 3C1EB900 MOV EAX,DWORD PTR DS:[B91E3C]
00B652D8 391C06 CMP DWORD PTR DS:[ESI+EAX],EBX
00B652DB 75 16 JNZ SHORT 00B652F3
00B652DD 8D85 B4FEFFFF LEA EAX,DWORD PTR SS:[EBP-14C]
00B652E3 50 PUSH EAX
00B652E4 FF15 B842B800 CALL DWORD PTR DS:[B842B8] ; kernel32.LoadLibraryA
00B652EA 8B0D 3C1EB900 MOV ECX,DWORD PTR DS:[B91E3C]
00B652F0 89040E MOV DWORD PTR DS:[ESI+ECX],EAX
00B652F3 A1 3C1EB900 MOV EAX,DWORD PTR DS:[B91E3C]
00B652F8 391C06 CMP DWORD PTR DS:[ESI+EAX],EBX
00B652FB 0F84 2F010000 JE 00B65430 ;JMP 00B65430
00B65301 33C9 XOR ECX,ECX
00B65303 8B07 MOV EAX,DWORD PTR DS:[EDI]
00B65305 3918 CMP DWORD PTR DS:[EAX],EBX
00B65307 74 06 JE SHORT 00B6530F
00B65309 41 INC ECX
00B6530A 83C0 0C ADD EAX,0C
00B6530D ^ EB F6 JMP SHORT 00B65305
JE 00B65430改JMP 00B65430
。。。。。。。。。。。。
脱壳简单,但是重定位总是弄错,就不发了下面的操作了,希望高手能帮助脱壳并修复下,感谢!
如果您脱壳了希望发到我的邮箱: 799591917@qq.com
第一次求助,希望高手不要吝啬,谢谢了!
下面是加壳的DLL文件下载地址:
http://panidlg.ys168.com/ 网络硬盘里只有一个文件RS.dll,就是这个,谢谢高手!
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
