首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 加壳脱壳
    3. 发新帖
[求助]Armadillo的dll脱壳可以帮看下吗?
发表于: 2005-1-6 13:45 3994

[求助]Armadillo的dll脱壳可以帮看下吗?

cainiao 活跃值
2005-1-6 13:45
3994
BP GetModuleHandleA+5,Shift+F9运行,注意看堆栈:

代码:--------------------------------------------------------------------------------
☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆
注意看BP GetModuleHandleA+5 时的堆栈变化:
            
0006BFA0    00A2C807  返回到 00A2C807 来自 kernel32.GetModuleHandleA
0006BFA4    00A3D6C8  ASCII "kernel32.dll"
0006BFA8    00A3E67C  ASCII "VirtualAlloc"
        
0006BFA0    00A2C824  返回到 00A2C824 来自 kernel32.GetModuleHandleA
0006BFA4    00A3D6C8  ASCII "kernel32.dll"
0006BFA8    00A3E670  ASCII "VirtualFree"
        
0006BD18    00A1799B  返回到 00A1799B 来自 kernel32.GetModuleHandleA
0006BD1C    0006BE54  ASCII "kernel32.dll"//可以返回了 ★
☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆☆

我找不到可以返回的ASCII "kernel32.dll"
ASCII "VirtualFree"之后,再shift+F9堆栈就是这样

0003A4B8    77BFAB33  返回到 MSVCRT.77BFAB33 来自 MSVCRT.77C054FD
0003A4BC    0098A46A  返回到 0098A46A 来自 0099C100
0003A4C0   /0006A944
0003A4C4   |00989DCF  返回到 00989DCF 来自 0098A45D
0003A4C8   |003B9522
0003A4CC   |0003A4DC
0003A4D0   |009A3174  ASCII "DEFAULT"

[课程]FART 脱壳王!加量不加价!FART作者讲授!

收藏
免费 0
支持
分享
最新回复 (3)
yjpvaps
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
在到了ASCII "VirtualFree"之后,按shift+F9十几下的,大概在12下左右,直到看到有
0006BD18    00A1799B  返回到 00A1799B 来自 kernel32.GetModuleHandleA
0006BD1C    0006BE54  ASCII "kernel32.dll"”
就可以返回了
2005-1-6 20:06
0
cainiao
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
可是我在看到ASCII "VirtualFree"之后,再shift+F9几下,就会出错啊,提示“Error while unpacking program,code 1.2. Please report to author.”
这个是怎么回事啊?
2005-1-6 20:26
0
lihai3330
雪    币: 159
活跃值: (70)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
什么程序?
2005-1-6 20:33
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//