Armadillo 1.xx - 2.xx -> Silicon Realms Toolworks 脱壳问题
根据教程,已经到了下面的步骤,程序是单进程的--------------------------------------------------------------------------------------------------------------------------------------
将 00BE97FE 0F84 AD000000 je 00BE98B1 改为:
00BE97FE 0F84 AD000000 jmp 00BE98B1
然后取消GetModuleHandleA断点
三、内存断点大法直抵OEP
Alt+M 查看内存,在401000段 下“内存访问断点”,F9运行:
呵呵,一片红色~~
0043DC0D 6A 60 push 60 ;在这里用LordPE修正映象--DUMP
0043DC0F 68 40A04800 push czssgold.0048A040
0043DC14 E8 BB0C0000 call czssgold.0043E8D4
0043DC19 BF 94000000 mov edi,94
0043DC1E 8BC7 mov eax,edi
0043DC20 E8 DBF0FFFF call czssgold.0043CD00
0043DC25 8965 E8 mov dword ptr ss:,esp
0043DC28 8BF4 mov esi,esp
0043DC2A 893E mov dword ptr ds:,edi
0043DC2C 56 push esi
0043DC2D FF15 04944700 call dword ptr ds: ; kernel32.GetVersionExA
0043DC33 8B4E 10 mov ecx,dword ptr ds:
0043DC36 890D 60DD4900 mov dword ptr ds:,ecx
-----------------------------------------------------------------------------------------------------------------------------------------------------------
1。在把 00BE97FE 0F84 AD000000 je 00BE98B1 改为:
00BE97FE 0F84 AD000000 jmp 00BE98B1
的时候,非要变成
00BE97FE 0F84 AD000000 jmp 00BE98B1
地址 90 NOP
后面的才不会变样。
2。不知道“在401000段 下 内存访问断点”这句怎么操作。我在401000这个地方下了个硬件断点,结果根本就没用。程序直接跑结束了。 这个壳一直以来咱都怕它~
还没学脱它。。。 ALT+M,找到401000段 ,右键--内存访问断点,F9运行就直达OEP了 谢谢楼上各位哈。
但是在内存断点后一直到不了 004C9B19 >55 push ebp 这个位置,所以没办法dump
不知道该在哪个位置dump,还是在这个程序已经被破坏了? 首先确认软件加的壳版本是:Armadillo 1.xx - 2.xx -> Silicon Realms Toolworks
Peid识别常出错的。 我把内寸断点下在DATA段头。
到了
005482E0 60 PUSHAD
这个地方,不知道是不是可以dump了?
我在这个位置dump出来后。在修复的时候,居然说dump文件无效。 不是下在DATA
而是TEXT
听hrbx 兄弟的没错
原帖由 hrbx 于 2006-7-19 13:00 发表
ALT+M,找到401000段 ,右键--内存访问断点,F9运行就直达OEP了 楼上的兄弟,我用ALT+M 在401000(对应的CODE段)的位置下了短点,到达的位置就是不对,在DATA段下了个,能正常的破解出来。
但是运行不了。
由于本人是没入门的菜鸟,请各位原谅我的白痴问题哈。 楼主把软件下载拿过来
今天脱Arm的时候 我也遇到了点问题
ARM脱壳的问题 双进程 我修改了Magic Jump 然后下bp GetCurrentThreadId断点的时候 F9运行了两次 程序就自动OVER了 这是为什么呢?
页:
[1]