不知道这个是不是arm 1.XX---2.XX的壳?
不知道这个是不是arm 1.XX---2.XX的壳? 用多个软件查下的嘛~比如:PEiD PEID查出来就是arm 1.XX---2.XX的。但是有人说pEID找出来的不正确。 Fi上面不是写着4.0吗? 谢了,楼上的老大。 FLY大狭说过Armadillo V4.0新增的反跟踪手段:
OllyDbg在处理调式包含格式串的消息时存在问题,被跟踪的应用程序可以使OllyDbg崩溃,或可能以进程权限执行任意指令。OutputDebugString函数可发送字符串到调试器上,然后OllyDbg会在底端显示相关状态消息,但是如果包含格式串消息,就可能使OllyDbg崩溃。Armadillo以前的版本没有此种Anti,自V4.0始才有。
你可以下断点 HE OutputDebugStringA
Shift+F9 运行,中断下来。看堆栈:
有没有像这样的字串:
String = "%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s" 楼上的好厉害.....对了Fi 这个工具好像XP不能用吧,,,,,
我那天下发不能用... 原帖由 dryzh 于 2006-8-6 17:23 发表
FLY大狭说过Armadillo V4.0新增的反跟踪手段:
OllyDbg在处理调式包含格式串的消息时存在问题,被跟踪的应用程序可以使OllyDbg崩溃,或可能以进程权限执行任意指令。OutputDebugString函数可发送字符串到调试器 ...
正解! 把FI快捷方式放到C盘的Documents and Setting/xiaoxiao(这个有些不一样)/SendTo(隐藏文件需要设置查看隐藏文件才可以看到)文件夹里,然后点要查壳的程序,选发送到FI。exe 即可,XP也能方便的使用,/:D
页:
[1]