- UID
- 21039
注册时间2006-9-10
阅读权限20
最后登录1970-1-1
以武会友
 
TA的每日心情 | 奋斗
2023-12-2 20:17 |
|---|
签到天数: 3 天 [LV.2]偶尔看看I
|
【文章标题】: Armadillo 3.78 - 4.xx双进程脱壳加优化
【文章作者】: 追杀
【作者邮箱】: [email protected]
【作者主页】: 没得
【作者QQ号】: 46345049
【软件大小】: 484k
【下载地址】: 本页下载
【加壳方式】: 加密
【编写语言】: VC++
【操作平台】: WinXp2
【作者声明】: 只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教!
--------------------------------------------------------------------------------
【详细过程】
OD载入停在这里:
0103B000 > 60 pushad
0103B001 E8 00000000 call 0103B006
OD忽略所有异常,另加上C000001E (INVALID LOCK SEQUENCE)异常
OpenMutexA下断F9运行出现错误提示点“|确定”运行在
7C80EA1B > 8BFF mov edi, edi Alt+F9返回程序
01021382 /74 04 je short 01021388 返回到这里
01021382 /74 04 jne short 01021388 改成这样
改好后运行,取消7C80EA1B处的断点 再次返回
GetModuleHandle+5下断 F9运行 出错提示“|确定”Shift+F9运行
7C80B6A6 837D 08 00 cmp dword ptr [ebp+8], 0
7C80B6AA 74 18 je short 7C80B6C4
7C80B6AC FF75 08 push dword ptr [ebp+8]
7C80B6AF E8 C0290000 call 7C80E074
7C80B6B4 85C0 test eax, eax
=================================================================
堆栈提示:
001378E0 |00C09AF7 返回到 00C09AF7 来自 kernel32.GetModuleHandleA
001378E4 |00137A24 ASCII "kernel32.dll"
这里取消断点.Alt+F9返回
00C09B25 391C06 cmp dword ptr [esi+eax], ebx
00C09B28 0F84 32010000 je 00C09C60 Magic跳改成jmp 回车跟
00C09C6F ^\0F85 41FEFFFF jnz 00C09AB6 这里F2 F9运行到这里 取消断点
00C09C75 EB 03 jmp short 00C09C7A
把原来的东东修改回来
CreateThread 下断.
7C810637 > 8BFF mov edi, edi 断在这里
取消断点,Alt+F9返回程序
OEP
0100739D 6A 70 push 70
现在来优化
pdata清除
data1清除
adata清除
text1清除
比原来小十倍
好了完了,再见
--------------------------------------------------------------------------------
【版权声明】: 本文技术交流, 转载请注明作者并保持文章的完整, 谢谢!
2007年12月04日 19:49:01
[ 本帖最后由 enjon 于 2008-7-12 22:43 编辑 ] |
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?加入我们
x
评分
-
查看全部评分
|
IP卡
发表于 2007-12-4 20:00:57
提升卡
置顶卡
变色卡
千斤顶
显身卡
发表于 2007-12-4 20:15:01
发表于 2007-12-24 14:18:38
楼主
发表于 2007-12-25 00:55:13
发表于 2007-12-25 08:44:58
