duchuan 发表于 2009-6-22 12:09:34

Armadillo脚本怎么使用?

Armadillo脚本怎么使用啊!我现在正在脱Armadillo 1.xx - 2.xx -> Silicon Realms Toolworks

lacoucou 发表于 2009-6-22 12:24:45

OD载入-插件-OD MACHINE-运行脚本,选择对应脚本

duchuan 发表于 2009-6-22 17:25:26

提示报错呢?

Leeairw 发表于 2009-6-23 02:23:43

报错你看下你的壳是不是对应脚本的版本。

duchuan 发表于 2009-6-23 05:33:01

Armadillo 1.xx - 2.xx -> Silicon Realms Toolworks
这个版本的壳用什么角本,我找不到,哪位朋友有,给我一个
[email protected]
谢谢了

xuyang886 发表于 2009-6-23 19:28:12

很简单的``

duchuan 发表于 2009-6-23 21:21:57

能不能跟我说说,谢谢了。内存中断上出问题了,返回不到程序入口处,前边都差不多

duchuan 发表于 2009-6-27 16:39:24

用工具查这个壳用了一些保护,

duchuan 发表于 2009-6-27 16:44:39

Armadillo 1.xx - 2.xx -> Silicon Realms Toolworks 脱壳分析
这篇文章有一个地方我没有看懂,试了好几次也不一样

二、避开IAT加密

下断:He GetModuleHandleA,F9运行       注意堆栈变化:

二、避开IAT加密

下断:He GetModuleHandleA,F9运行       注意堆栈变化:

0012EC6C   5D175394      /CALL 到 GetModuleHandleA 来自 5D17538E
0012EC70   5D1753E0      \pModule = "kernel32.dll"

0012ED2C   77F45BB0      /CALL 到 GetModuleHandleA 来自 SHLWAPI.77F45BAA
0012ED30   77F44FF4      \pModule = "KERNEL32.DLL"

0012F540   004B50E3      /CALL 到 GetModuleHandleA 来自 czssgold.004B50DD
0012F544   00000000      \pModule = NULL

0012BB20   00BFF65E      /CALL 到 GetModuleHandleA 来自 00BFF658
0012BB24   00C10B58      \pModule = "kernel32.dll"
0012BB28   00C11BB4      ASCII "VirtualAlloc"

0012BB20   00BFF67B      /CALL 到 GetModuleHandleA 来自 00BFF675
0012BB24   00C10B58      \pModule = "kernel32.dll"
0012BB28   00C11BA8      ASCII "VirtualFree"

0012BB1C   00BFF7E9      /CALL 到 OpenMutexA 来自 00BFF7E3
0012BB20   001F0001      |Access = 1F0001
0012BB24   00000000      |Inheritable = FALSE
0012BB28   0012EB38      \MutexName = "DF4A9B95:SIMULATEEXPIRED"

0012B898   00BE97CD      /CALL 到 GetModuleHandleA 来自 00BE97C7
0012B89C   0012B9D4      \pModule = "kernel32.dll"       返回的好时期 alt+f9

为什么我返回不成功到达不了程序领空

duchuan 发表于 2009-6-27 16:45:16

我用的是其它软件,分析步骤跟这篇文章一样,就是差上边我说的那些
页: [1] 2
查看完整版本: Armadillo脚本怎么使用?