脱Armadillo 3.78 - 4.xx时,将到OEP,出错,请指点!!!
软件名:Flash Optimizer v2.0.1.333下载地址:http://www.crsky.com/soft/3002.html
1、查壳是:Armadillo 3.78 - 4.xx -> Silicon Realms Toolworks
2、是双线程的。线程名:fo2
3、我的操作:
①、单变双,下bp OpenMutexA。
②、Magic Jump,避开IAT加密,下he GetModuleHandleA+5
找到:
0131AEA7 /EB 03 JMP SHORT 0131AEAC(下硬件执行)
0131AEA9 |D6 SALC
0131AEAA |D6 SALC
0131AEAB |8F ??? ; 未知命令
0131AEAC \8B15 9CA13701 MOV EDX,DWORD PTR DS:
往上找到:
0131AD1A /0F84 47010000 JE 0131AE67(把je修改为jmp)
0131AD20 |68 00010000 PUSH 100
0131AD25 |8D95 B8FDFFFF LEA EDX,DWORD PTR SS:
0131AD2B |52 PUSH EDX
shift+F9,停在:
0131AEA7 /EB 03 JMP SHORT 0131AEAC
取消断点,撤销下列修改:
0131AD1A /E9 48010000 JMP 0131AE67
0131AD1F |90 NOP
③至此,打开内存镜像,找到00401000,下断,shift+F9,od报错(如下图),不能往下了。
我试了好几回,都是到这里就出错,现在问题:
1、我查壳对吗?它是Armadillo 3.78 - 4.xx?
2、为什么会出现报错?我的操作对吗?
以上请指点!
[ 本帖最后由 qjnan 于 2008-11-6 10:17 编辑 ] 被检测到了你修改的magicjump,在闭开后撤消就可以啦! 内存检验了~
回复 2# 的帖子
我撤销了magicjump啊。 那怎么办?我要如何操作? 这个程序是!- Protected Armadillo
Protection system (Professional)
!- <Protection Options>
Debug-Blocker
CopyMem-II
Enable Memory-Patching Protections
!- <Backup Key Options>
Fixed Backup Keys
!- <Compression Options>
Best/Slowest Compression
!- <Other Options>
488FAF00 Version 6.05Alpha1 30-07-2008
要用非标准双进程模式脱才行哦。
[ 本帖最后由 lqiulu 于 2008-11-6 17:18 编辑 ] 谢楼上的!非标准的怎么脱?请指教。
[ 本帖最后由 qjnan 于 2008-11-7 08:34 编辑 ] 用双转单是不行的,IAT和代码是在不同的进程中解码的~
要同时处理父进程和子进程 原帖由 hyperchem 于 2008-11-7 15:33 发表 https://www.chinapyg.com/images/common/back.gif
用双转单是不行的,IAT和代码是在不同的进程中解码的~
要同时处理父进程和子进程
版主就是不一样 :lol: 今天搞了一会儿 累死了~
程序是dump出来了,但是IAT还没有修复好~
这个貌似对Kernel.dll进行了优待 还没找到处理的地方~
其他加密的IAT用Magic Jump就可以跳过了~
页:
[1]
2