破解“Armadillo 系列练习3”不明白为何失败，帮我分析一下

ssss168

按照：OVER穿山甲双进程（加壳穿山甲程序版本为标准版本）
下第一个断点WaitForDebugEvent，F9时出现，程序无法走下去，这试了几个版本的OD都是有错误或者说内存方面的问题，真是郁们，请问是怎么回事，我也进行了隐藏

flyskey

我下 bp WaitForDebugEvent
he WaitForDebugEvent
这2个断点都是直接over! 根本断不下来~~

OD都换了8个!~~~

horizon_c

用看雪07精华的方法这样试了下。
用AvAtAr//TEAM RESURREC提供的Armadillo Process Detach v1.3 Final选择CopyMem-II选项,把目标拖进去。
Parent process iD:  [00000F34]
Processing...
[PROTECTiON SYSTEM]
Professional Edition
[PROTECTiON OPTiONS]
Debug-Blocker protection detected
CopyMem-II protection detected
[CHiLD iNFO]
Crypto call found:  [01037295]
Child process iD:   [0000049C]
Entry point:        [01005F85]
Original bytes:     [6A7068F8]
Detached successfully :)
用od附加子进程运行后返回，修改OEP为6a70 68f8用lordpe脱掉，用importimrc修复后不能运行。有谁给解答下啊。对照了原程序入口点代码都一样的。

yunfeng

原帖由 horizon_c 于 2008-5-3 22:39 发表
用看雪07精华的方法这样试了下。
用AvAtAr//TEAM RESURREC提供的Armadillo Process Detach v1.3 Final选择CopyMem-II选项,把目标拖进去。
Parent process iD:  [00000F34]
Processing...
[PROTECTiON SYSTEM]
P ...

方法是对的，关键是你的IAT表没有修复好。