脱Armadillo 1.xx - 2.xx

hxqlky · 发表于 2008-1-25 16:24:33

查壳
Armadillo 1.xx - 2.xx -> Silicon Realms Toolworks [Overlay]
<------- 25-01-2008 14:01:12 ------->
C:\Documents and Settings\LiYong\桌面\QQMobileMsg.exe
!- Protected Armadillo
Protection system (Basic)
!- <Protection Options>
Standard protection or Minimum protection
!- <Backup Key Options>
Fixed Backup Keys
!- <Compression Options>
Best/Slowest Compression
!- <Other Options>
单进程
004E0999 >/$  55          PUSH EBP                               ;  (初始 cpu 选择)
004E099A  |.  8BEC       MOV EBP,ESP
004E099C  |.  6A FF       PUSH -1
004E099E  |.  68 500C5000 PUSH QQMobile.00500C50
004E09A3  |.  68 80034E00 PUSH QQMobile.004E0380                ;  SE 处理程序安装
004E09A8  |.  64:A1 0000000>MOV EAX,DWORD PTR FS:[0]
ctrl+n
名称位于 QQMobile, 条目 58
地址=004FB184
区段=.data
类型=输入 (已知)
名称=KERNEL32.GetModuleHandleA
7C80B6A6 837D 08 00    CMP DWORD PTR SS:[EBP+8],0
7C80B6AA 74 18          JE SHORT kernel32.7C80B6C4  断点找返回时机
7C80B6AC FF75 08       PUSH DWORD PTR SS:[EBP+8]
7C80B6AF E8 C0290000    CALL kernel32.7C80E074
7C80B6B4 85C0          TEST EAX,EAX
7C80B6B6 74 08          JE SHORT kernel32.7C80B6C0

0012FF34  /0012FFC0
0012FF38  |004E0A61  返回到 QQMobile.<模块入口点>+0C8 来自 kernel32.GetModuleHandleA

0012BF20  |00BEC807  返回到 00BEC807 来自 kernel32.GetModuleHandleA
0012BF24  |00BFD6C8  ASCII "kernel32.dll"
0012BF28  |00BFE67C  ASCII "VirtualAlloc"

0012BC98  |00BD799B  返回到 00BD799B 来自 kernel32.GetModuleHandleA
0012BC9C  |0012BDD4  ASCII "kernel32.dll"  alt=f9  取消断点

00BD79A9 393C06       CMP DWORD PTR DS:[ESI+EAX],EDI
00BD79AC 75 16          JNZ SHORT 00BD79C4
00BD79AE 8D85 B4FEFFFF LEA EAX,DWORD PTR SS:[EBP-14C]
00BD79B4 50             PUSH EAX
00BD79B5 FF15 CC80BF00 CALL DWORD PTR DS:[BF80CC]             ; kernel32.LoadLibraryA
00BD79BB 8B0D E011C000 MOV ECX,DWORD PTR DS:[C011E0]
00BD79C1 89040E       MOV DWORD PTR DS:[ESI+ECX],EAX
00BD79C4 A1 E011C000    MOV EAX,DWORD PTR DS:[C011E0]
00BD79C9 393C06       CMP DWORD PTR DS:[ESI+EAX],EDI
00BD79CC 0F84 AD000000 JE 00BD7A7F          改 jmp

00BD7A88  ^\0F85 CCFEFFFF JNZ 00BD795A
00BD7A8E EB 03          JMP SHORT 00BD7A93  断点
00BD7A90 D6             SALC
00BD7A91 D6             SALC

00BD79CC 0F84 AD000000 JE 00BD7A7F          改 jmp  撤消
00BD7A8E EB 03          JMP SHORT 00BD7A93  断点    删除断点
alt＋m
内存映射, 条目 23
地址=00401000          断点
大小=0009B000 (634880.)
属主=QQMobile 00400000
区段=CODE
类型=Imag 01001002
访问=R
初始访问=RWE
0049B434 55             PUSH EBP
0049B435 8BEC          MOV EBP,ESP
0049B437 83C4 F0       ADD ESP,-10
0049B43A B8 54B14900    MOV EAX,QQMobile.0049B154

超级字串参考＋       , 条目 541
地址=00497153
反汇编=PUSH QQMobile.0049726C
文本字串=试用版
超级字串参考＋       , 条目 542
地址=004971A1
反汇编=MOV EDX,QQMobile.0049727C
文本字串=已注册！感谢您使用本软件！
00496961 E8 A2CAFFFF    CALL dumped_.00493408
00496966 8B55 B8       MOV EDX,DWORD PTR SS:[EBP-48]  注册码
00496969 58             POP EAX
0049696A E8 C5E4F6FF    CALL dumped_.00404E34    关键
0049696F 74 19          JE SHORT dumped_.0049698A
00496971 6A 00          PUSH 0
00496973 B9 446A4900    MOV ECX,dumped_.00496A44                ; regcode

名称位于 dumped_, 条目 174
地址=004AC394
区段=.idata
类型=输入 (已知)
名称=kernel32.GetPrivateProfileStringA ini断点
0012FD50 00000000
0012FD54 010C4044  ASCII "1b8adf1d81f3d54"
0012FD58 010C55F4
0012FD5C 010C1AB8
0012FD60 010BD7A4  ASCII "1b8adf1d81f3d54"

EAX 010B377C ASCII "7c223cf29737a02d9a593ccaddf359fc"

0012FD44 010B377C  ASCII "7c223cf29737a02d9a593ccaddf359fc"
0012FD48 010B37AC  ASCII "44787e44a567b431fc1112b6d7e5b797"  注册码
0012FD4C 010B6874  ASCII "111111111111111"
0012FD50 010C5878  ASCII "111111111111111"
0012FD54 010C4044  ASCII "1b8adf1d81f3d54"

cea41e1067155d78db9426759754a0c9 2.exe md5教程
脱Armadillo 1.xx - 2.xx http://www.namipan.com/d/%e8%84% ... 97d511e42c48e60d200

kanjinbao · 发表于 2008-1-27 19:49:58

真是一点都看不懂啊

ssss168 · 发表于 2008-3-27 23:04:35

有动画吗？？？？

		自动登录	找回密码
密码			加入我们

[脱壳破解] 脱Armadillo 1.xx - 2.xx

相关帖子