网站 › ≮ 脱壳求助 ≯ › Armadillo 1.xx - 2.xx -> Silicon Realms Toolworks [Overlay]

wofan 发表于 2006-8-9 15:51:00

Armadillo 1.xx - 2.xx -> Silicon Realms Toolworks [Overlay]

Registry Medic 4中文是什么意思？ 是魔法注册表 吗？
该软件公司网址：
http://www.iomatic.com/support/faq.asp?productid=registrymedic
到那里可以下载。
PEID扫描：
Armadillo 1.xx - 2.xx -> Silicon Realms Toolworks
这是个猛壳，当然得用修改版的OD了。
FlyOD载入来到：
005137C3 >55            push ebp
005137C4    8BEC            mov ebp,esp
005137C6    6A FF         push -1
005137C8    68 20DB5300   push Regmedic.0053DB20
005137CD    68 00355100   push Regmedic.00513500
看堆栈：
0012FFC4   7C816D4F返回到 kernel32.7C816D4F
0012FFC8   7C930738ntdll.7C930738

先修改OD的异常设置，这个壳，有很多异常。

我就勾选所有的异常。

开始下断，在命令行输入：
BP LoadLibraryA
回车。
/////////////////////////////////////////
如果不忽略异常，当出现异常时，
shift+F7/F8/F9键跳过异常以继续执行程序
你按41次shift+F9
程序就运行。好累！
/////////////////////////////////////////

00127840   00C247EB/CALL 到 LoadLibraryA 来自 00C247E5
00127844   00127990\FileName = "MSVBVM60.DLL"

这是个VB程序，到这里可以返回了。
先取消断点，然后Alt+F9返回到程序领空。
00C247EB    8B0D 7CF6C400   mov ecx,dword ptr ds:
00C247F1    89040E          mov dword ptr ds:,eax
00C247F4    A1 7CF6C400   mov eax,dword ptr ds:
00C247F9    391C06          cmp dword ptr ds:,ebx－－－－先对他下硬件断点
00C247FC    0F84 2F010000   je 00C24931－－－－－－－－－－－－这里就是传说中的Magic JMp了。
00C24802    33C9            xor ecx,ecx
00C24804    8B07            mov eax,dword ptr ds:
00C24806    3918            cmp dword ptr ds:,ebx
00C24808    74 06         je short 00C24810
00C2480A    41            inc ecx
00C2480B    83C0 0C         add eax,0C
00C2480E^ EB F6         jmp short 00C24806
00C24810    8BD9            mov ebx,ecx
00C24812    C1E3 02         shl ebx,2

然后返回去，再载入看看。现在不要修改Magic JMP
因为有了硬件断点，就直达我们刚才下的硬件断点了，现在先取消内存断点，修改Magic jMP，
ALT+M打开内存镜像，然后下内存断点，在401000处。
按F9运行， 直达OEP
004D08D0    55            push ebp－－－－－OEP了。
004D08D1    8BEC            mov ebp,esp
004D08D3    83C4 F0         add esp,-10
004D08D6    B8 C8054D00   mov eax,Regmedic.004D05C8
004D08DB    E8 7868F3FF   call Regmedic.00407158

因为是猛壳，一定要记住用LordPE来DUMP。
先Correct Imagesize
然后Dump Full
现在可以修复输入表了。

还是有些指针没有修复，Cut 它们。

然后Fix DUMP 。
时间有点长了。

运行一下。OK，脱壳成功。

Borland Delphi 6.0 - 7.0



我不知道是看了谁的脱文，说是对付标准壳都可以用这种方法。

哈，天下文章一大抄，不会有版权争议吧。。
没法，网络要共享呀

QQ：339171218
wofan

15:23 2006-8-9

附件在我的U盘。论坛上传附件的限制还是多

软件到http://www.iomatic.com/support/faq.asp?productid=registrymedic可以下载。

bfqyygy 发表于 2006-8-9 16:34:06

不管怎么样.还是谢谢的说!!

冷血书生 发表于 2006-8-9 16:39:37

太简单了，来点强度的！

;P;P

Lancia 发表于 2006-8-9 16:40:02

虽然看不出，但也支持了！

haiyun 发表于 2006-8-9 22:29:30

原帖由 冷血书生 于 2006-8-9 16:39 发表
太简单了，来点强度的！

;P;P
太简单？！～～冷血老大的功力真的是深厚啊！向老大学习！

PYG_小田 发表于 2006-10-4 20:37:03

冷血````````脱壳是要冷血一点~~~~~

yosen2001 发表于 2006-10-8 18:42:56

怎么发到视屏区来了，我还以为有动画呢，希望版主挪一挪~，谢谢分享

下下雪 发表于 2006-12-24 22:52:27

学习了，我看是得挪一挪

查看完整版本: Armadillo 1.xx - 2.xx -> Silicon Realms Toolworks [Overlay]