脱带KEY的ARM双进程的壳所遇的问题
看了看雪标 题: 新手处女作,脱带KEY的ARM双进程的壳作 者: 邪秀才
恰好手上有一个类似软件...拿它开刀!
侦壳:用PEID 查一下 显示为 Armadillo 1.xx - 2.xx -> Silicon Realms Toolworks的壳,根据经验应该是Armadillo 4.00 的壳
1,先把软件由双进程变成单进程...不用作者那么麻烦.用现成的双变单脚本..像双进程+输入表乱序+策略代码衔接+Nanomites 处理保护模式里就带有一个..用它省事.呵呵.一点就行了.
2,2 找PATCH的地方
下断he GetDlgItemshift+f9两次,出现提示后ALT+F9返回......................
省略....PATCH之前,我们先要知道自己的机器码,我的是785D-C59B,找空白处写代码,我找的是401000
将024759FA的地方改为JMP 401000
在CPU窗口中 Ctrl+G:401000键入以下代码:
00401000 35 8AC0E665 XOR EAX,65E6C08A
00401005 3D 331E3F49 CMP EAX,785DC59B 785D-C59B是我的机器码
0040100A 75 05 JNZ SHORT Cam.00401011
0040100C B8 135AC2A3 MOV EAX,213E448L 213E-448L 朋友可用的机器码?---------------------问题就出在这!老改都出现[未知标识符.]
00401011 C2 0800 RETN 8
以至于拿别人的机器码也一样改不了,改了一个字母又可以反汇编.
是什么原因?请各位大虾们帮分析分析..下一步怎做?谢谢!
[此贴问题早已解决]
[ 本帖最后由 glts 于 2007-5-21 11:32 编辑 ] 已解决........213E-448L 朋友可用的机器码?---------------------朋友骗我注册码(明显不符合16进制的注册码) 转请1,先把软件由双进程变成单进程...不用作者那么麻烦.用现成的双变单脚本..像双进程+输入表乱序+策略代码衔接+Nanomites 处理保护模式里就带有一个..用它省事.呵呵.一点就行了.
2,2 找PATCH的地方
下断he GetDlgItemshift+f9两次,出现提示后ALT+F9返回......................
省略....PATCH之前,我们先要知道自己的机器码,我的是785D-C59B,找空白处写代码,我找的是401000
将024759FA的地方改为JMP 401000
在CPU窗口中 Ctrl+G:401000键入以下代码:
00401000 35 8AC0E665 XOR EAX,65E6C08A
00401005 3D 331E3F49 CMP EAX,785DC59B 785D-C59B是我的机器码
0040100A 75 05 JNZ SHORT Cam.00401011
0040100C B8 135AC2A3 MOV EAX,213E448L 213E-448L 朋友可用的机器码?---------------------问题就出在这!老改都出现[未知标识符.]
00401011 C2 0800 RETN 8
213E448L不合16进制.这个是较明显,L超出了范围;
关键是在用现成的双变单脚本..像双进程+输入表乱序+策略代码衔接+Nanomites 处理保护模式里就带有一个..用它省事.呵呵.一点就行了.如保操作,用插件吗?
请楼主做个视频语音教程就好了,正在脱这个. https://www.chinapyg.com/viewthread.php?tid=11728&extra=page%3D3这里找到一个,不知好用不 近期准备做个语音教程。。 原帖由 胆大 于 2007-3-21 20:02 发表 https://www.chinapyg.com/images/common/back.gif
近期准备做个语音教程。。
支持!!!! 我得慢慢来! 你这也叫脱壳只不过是把双进程变为单进程后,进行简单的修改啊,请兄弟不要搞错吧,
如果想脱壳还要把父子进程分离才行,呵。 希望下次注意了。呵,这样的语音教程最好不做,行吧。 用winhex 直接改。
页:
[1]