首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 加壳脱壳
    3. 发新帖
请问这是加的什么壳
发表于: 2004-12-23 11:49 4101

请问这是加的什么壳

kyc 活跃值
19
2004-12-23 11:49
4101
peid:Armadillo 1.xx - 2.xx -> Silicon Realms Toolworks [Overlay]
old:

00400000   00001000   XPStyle  00400000 (itself)                    PE header                  Imag 01001002       R         RWE
00401000   00248000   XPStyle  00400000             CODE                                       Imag 01001002       R         RWE
00649000   00012000   XPStyle  00400000             DATA                                       Imag 01001002       R         RWE
0065B000   00038000   XPStyle  00400000             BSS                                        Imag 01001002       R         RWE
00693000   00004000   XPStyle  00400000             .idata                                     Imag 01001002       R         RWE
00697000   00001000   XPStyle  00400000             .tls                                       Imag 01001002       R         RWE
00698000   00001000   XPStyle  00400000             .rdata                                     Imag 01001002       R         RWE
00699000   0001E000   XPStyle  00400000             .reloc                                     Imag 01001002       R         RWE
006B7000   00020000   XPStyle  00400000             .text           code                       Imag 01001002       R         RWE
006D7000   00010000   XPStyle  00400000             .adata          code                       Imag 01001002       R         RWE
006E7000   00010000   XPStyle  00400000             .data           data,imports               Imag 01001002       R         RWE
006F7000   00010000   XPStyle  00400000             .reloc1         relocations                Imag 01001002       R         RWE
00707000   00240000   XPStyle  00400000             .pdata                                     Imag 01001002       R         RWE
00947000   00399000   XPStyle  00400000             .rsrc           resources                  Imag 01001002       R         RWE

[课程]Linux pwn 探索篇!

收藏
免费 1
支持
分享
最新回复 (4)
fly
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
私信
2
Armadillo
2004-12-23 11:51
0
kyc
雪    币: 389
活跃值: (912)
能力值: ( LV9,RANK:770 )
在线值:
发帖
回帖
粉丝
私信
3
请问版本是2.5吗
2004-12-23 12:03
0
fly
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
私信
4
Unpacking Gods - Armadillo Version Location tutorial

附件:Versionl.rar
2004-12-23 12:20
0
kyc
雪    币: 389
活跃值: (912)
能力值: ( LV9,RANK:770 )
在线值:
发帖
回帖
粉丝
私信
5
厉害,他说的是3.60版本的别个版本好象无效啊.
不忽略任何异常也没有告诉.
哎我一看E文就晕.

他的意识是载入OLD
Press SHIFT+F9 3 times (in this case 3 times)
SHIFT+F9 3次后看到
003C5EFA       ED                   in eax,dx
003C5EFB       81FB 68584D56        cmp ebx,564D5868
003C5F01       75 04                jnz short 003C5F07
003C5F03       C645 FF 01           mov byte ptr ss:[ebp-1],1
003C5F07       8A45 FF              mov al,byte ptr ss:[ebp-1]
CTRL+B
armVersion>搜索
003EBC2D       61                   popad

在这里转存中跟随选择部分
看到内存区域必须是HEX or TEXT Mode

And you will get a 'PRIVILEGED INSTRUCTION' in this case.

Now the CODE is Decrypted and we can find ARMADiLLO's EXACT compiler VERSiON

003EBC2D  armVersion>....3.60....   <enhancedHardwareID xsi:type="xsd:stri
003EBC6D  ng">%u</enhancedHardwareID>....   <standardHardwareID xsi:type="
003EBCAD  xsd:string">%u</standardHardwareID>....   <downloadID xsi:type="
003EBCED  xsd:string">%s</downloadID>....   <key xsi:type="xsd:string">%s<
003EBD2D  /key>..   <entitlementID xsi:type="xsd:string">%s</entitlementID
003EBD6D  >..   <password xsi:type="xsd:string">%s</password>....   <reqID
003EBDAD   xsi:type="xsd:string">%s</reqID>..xmlns:ns2="http://webservic

不知道理解对不对
2004-12-23 13:10
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//