破解“Armadillo 系列练习3”不明白为何失败,帮我分析一下
1、程序载入后:2、双转单进程:用脚本转、以及一步步全手工转都试过了
3、避开Anti
he OutputDebugStringA
F9
中断后堆栈里字符串:
String = "%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s"
把转存窗口换为地址方式:转存窗口中右键-长型-地址
堆栈窗口选中字符串,右键-数据窗口中跟随
在转存窗口选中第一行,右键-二进制-使用00填充
再F9
再选中堆栈窗口选中字符串,右键-数据窗口中跟随
再在转存窗口选中第一行,右键-二进制-使用00填充
删除此硬件断点!
4、Magic Jump,避开IAT加密
he GetModuleHandleA+5
F9
继续shift+F9
shift+f9
删除硬件断点,执行到用户代码alt+f9
00B55D12 /0F84 2F010000 je 00B55E47//改为jmp
00B55E5C /EB 03 jmp short 00B55E61//下硬件执行断点
F9
取消断点,返回Magic Jump 处,改回原先修改的代码
5、打开内存镜像,在01001000段下断,
Shift+F9,
问题出现了,这时没到OEP,而是停在
00B6B09C 8B0CB1 mov ecx, dword ptr
F8,提示:程序已终止
请问这是怎么回事?
本来想上传图片,但失败了,好在说得较详细
附件是这个帖子中的“练习3”,见:https://www.chinapyg.com/viewthread.php?tid=29496&extra=page%3D1
[ 本帖最后由 ssss168 于 2008-4-23 07:12 编辑 ] 附件呢? /:QQ1 /:QQ1 /:QQ1
[ 本帖最后由 flyskey 于 2008-4-22 21:27 编辑 ] 附件是这个帖子中的“练习3”,见:https://www.chinapyg.com/viewthre ... &extra=page%3D1 看看我的例子 我做了 在帖子里面 https://www.chinapyg.com/viewthread.php?tid=14651&highlight= -= PYG官方论坛 =- 提示信息
您无权进行当前操作,这可能因以下原因之一造成
本版块只有特定用户组可以访问。
您已经登录,但您的帐号或其所在的用户组无权访问当前页面。 这个壳试了下 老断不下来 郁闷.~~
那里面进不去发个文章到外面来吧~~~
[ 本帖最后由 flyskey 于 2008-4-24 14:45 编辑 ] 参考一下PYG07版的电子书中有一文叫:OVER穿山甲双进程(加壳穿山甲程序版本为标准版本) 这个练习3 根本不能照脱标准版的方法来脱~~~
bp WaitForDebugEvent
he WaitForDebugEvent
都断不下来.
[ 本帖最后由 flyskey 于 2008-4-24 19:26 编辑 ] -= PYG官方论坛 =- 提示信息
您无权进行当前操作,这可能因以下原因之一造成
本版块只有特定用户组可以访问。
您已经登录,但您的帐号或其所在的用户组无权访问当前页面。
千里之外的文章我也见不到,提示如上
页:
[1]
2