Armadillo 3.78 - 4.xx双进程脱壳加优化
【文章标题】: Armadillo 3.78 - 4.xx双进程脱壳加优化【文章作者】: 追杀
【作者邮箱】: [email protected]
【作者主页】: 没得
【作者QQ号】: 46345049
【软件大小】: 484k
【下载地址】: 本页下载
【加壳方式】: 加密
【编写语言】: VC++
【操作平台】: WinXp2
【作者声明】: 只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教!
--------------------------------------------------------------------------------
【详细过程】
OD载入停在这里:
0103B000 >60 pushad
0103B001 E8 00000000 call 0103B006
OD忽略所有异常,另加上C000001E (INVALID LOCK SEQUENCE)异常
OpenMutexA下断F9运行出现错误提示点“|确定”运行在
7C80EA1B >8BFF mov edi, edi Alt+F9返回程序
01021382 /74 04 je short 01021388 返回到这里
01021382 /74 04 jne short 01021388 改成这样
改好后运行,取消7C80EA1B处的断点 再次返回
GetModuleHandle+5下断 F9运行 出错提示“|确定”Shift+F9运行
7C80B6A6 837D 08 00 cmp dword ptr , 0
7C80B6AA 74 18 je short 7C80B6C4
7C80B6AC FF75 08 push dword ptr
7C80B6AF E8 C0290000 call 7C80E074
7C80B6B4 85C0 test eax, eax
=================================================================
堆栈提示:
001378E0|00C09AF7返回到 00C09AF7 来自 kernel32.GetModuleHandleA
001378E4|00137A24ASCII "kernel32.dll"
这里取消断点.Alt+F9返回
00C09B25 391C06 cmp dword ptr , ebx
00C09B28 0F84 32010000 je 00C09C60 Magic跳改成jmp 回车跟
00C09C6F^\0F85 41FEFFFF jnz 00C09AB6 这里F2 F9运行到这里 取消断点
00C09C75 EB 03 jmp short 00C09C7A
把原来的东东修改回来
CreateThread 下断.
7C810637 >8BFF mov edi, edi 断在这里
取消断点,Alt+F9返回程序
OEP
0100739D 6A 70 push 70
现在来优化
pdata清除
data1清除
adata清除
text1清除
比原来小十倍
好了完了,再见
--------------------------------------------------------------------------------
【版权声明】: 本文技术交流, 转载请注明作者并保持文章的完整, 谢谢!
2007年12月04日 19:49:01
[ 本帖最后由 enjon 于 2008-7-12 22:43 编辑 ] 期待录像
谢谢共享 :loveliness: 可以用脚本啊 /:002
看不到附件呀~ 原帖由 zyh1031 于 2007-12-24 14:18 发表 https://www.chinapyg.com/images/common/back.gif
/:002
看不到附件呀~
多发些贴子,你还是初级的,努力一把就可以看到了。 原帖由 zyh1031 于 2007-12-24 14:18 发表 https://www.chinapyg.com/images/common/back.gif
/:002
看不到附件呀~
/:002 /:002 /:002 /:002 /:002
郁闷
/:002看不到附件啊。。。继续努力中。。 好资料,需要下载来学习。 看不到附件也没有关系的哦LZ文字写的也不错的哦~
谢谢了 /:014 穿山甲的壳脱了以后留下了大量的垃圾数据,中间的区段都可以删掉。