破解“Armadillo 系列练习3”不明白为何失败，帮我分析一下

ssss168 · 发表于 2008-4-21 19:32:53

1、程序载入后：

2、双转单进程：用脚本转、以及一步步全手工转都试过了

3、避开Anti
he OutputDebugStringA
F9
中断后堆栈里字符串：
String = "%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s"
把转存窗口换为地址方式：转存窗口中右键-长型-地址
堆栈窗口选中字符串，右键-数据窗口中跟随
在转存窗口选中第一行，右键-二进制-使用00填充

再F9
再选中堆栈窗口选中字符串，右键-数据窗口中跟随
再在转存窗口选中第一行，右键-二进制-使用00填充
删除此硬件断点！

4、Magic Jump，避开IAT加密
he GetModuleHandleA+5
F9

继续shift+F9

shift+f9

删除硬件断点，执行到用户代码alt+f9
00B55D12 /0F84 2F010000 je    00B55E47  //改为jmp
00B55E5C /EB 03          jmp    short 00B55E61  //下硬件执行断点
F9
取消断点，返回Magic Jump 处，改回原先修改的代码

5、打开内存镜像，在01001000段下断，

Shift+F9，
问题出现了，这时没到OEP，而是停在
00B6B09C 8B0CB1       mov    ecx, dword ptr [ecx+esi*4]
F8，提示：程序已终止

请问这是怎么回事？
本来想上传图片，但失败了，好在说得较详细

附件是这个帖子中的“练习3”，见：https://www.chinapyg.com/viewthr ... &extra=page%3D1

[ 本帖最后由 ssss168 于 2008-4-23 07:12 编辑 ]

flyskey · 发表于 2008-4-22 21:24:23

附件呢? /:QQ1 /:QQ1 /:QQ1

[ 本帖最后由 flyskey 于 2008-4-22 21:27 编辑 ]

ssss168 · 发表于 2008-4-23 07:37:27

附件是这个帖子中的“练习3”，见：https://www.chinapyg.com/viewthre ... &extra=page%3D1

千里之外 · 发表于 2008-4-24 02:45:20

看看我的例子我做了在帖子里面

glts · 发表于 2008-4-24 10:16:24

https://www.chinapyg.com/viewthread.php?tid=14651&highlight=

flyskey · 发表于 2008-4-24 13:11:11

-= PYG官方论坛 =- 提示信息
您无权进行当前操作，这可能因以下原因之一造成

本版块只有特定用户组可以访问。

您已经登录，但您的帐号或其所在的用户组无权访问当前页面。

flyskey · 发表于 2008-4-24 13:13:15

这个壳试了下老断不下来郁闷.~~
那里面进不去发个文章到外面来吧~~~

[ 本帖最后由 flyskey 于 2008-4-24 14:45 编辑 ]

glts · 发表于 2008-4-24 18:32:52

参考一下PYG07版的电子书中有一文叫:OVER穿山甲双进程（加壳穿山甲程序版本为标准版本）

flyskey · 发表于 2008-4-24 19:21:00

这个练习3 根本不能照脱标准版的方法来脱~~~

bp WaitForDebugEvent
he WaitForDebugEvent
都断不下来.

[ 本帖最后由 flyskey 于 2008-4-24 19:26 编辑 ]

ssss168 · 发表于 2008-4-24 21:08:16

-= PYG官方论坛 =- 提示信息
您无权进行当前操作，这可能因以下原因之一造成
本版块只有特定用户组可以访问。
您已经登录，但您的帐号或其所在的用户组无权访问当前页面。

千里之外的文章我也见不到，提示如上

		自动登录	找回密码
密码			加入我们