设为首页收藏本站官方微博
开启辅助访问 切换到窄版

飘云阁

 找回密码
 加入我们

QQ登录

只需一步,快速开始

[x86]PYG官方Dll优雅破解补丁制作工具[x64]PYG官方DLL优雅破解补丁制作工具[x86]PYG官方Exe优雅破解补丁制作工具[x86/x64]Baymax Patch Tools飘云阁工具包(已更新第4季)
返回列表 发新帖
查看: 3863|回复: 8

Armadillo 1.xx - 2.xx -> Silicon Realms Toolworks 脱壳问题

[复制链接]
singlehero

该用户从未签到
发表于 2006-7-19 09:04:04 | 显示全部楼层 |阅读模式
根据教程,已经到了下面的步骤,程序是单进程的
--------------------------------------------------------------------------------------------------------------------------------------
将 00BE97FE    0F84 AD000000     je 00BE98B1 改为:
   00BE97FE    0F84 AD000000     jmp 00BE98B1
然后取消GetModuleHandleA断点

三、内存断点大法直抵OEP

Alt+M 查看内存,在401000段 下“内存访问断点”,F9运行:
呵呵,一片红色~~  
0043DC0D    6A 60             push 60                                ;在这里用LordPE修正映象--DUMP
0043DC0F    68 40A04800       push czssgold.0048A040
0043DC14    E8 BB0C0000       call czssgold.0043E8D4
0043DC19    BF 94000000       mov edi,94
0043DC1E    8BC7              mov eax,edi
0043DC20    E8 DBF0FFFF       call czssgold.0043CD00
0043DC25    8965 E8           mov dword ptr ss:[ebp-18],esp
0043DC28    8BF4              mov esi,esp
0043DC2A    893E              mov dword ptr ds:[esi],edi
0043DC2C    56                push esi
0043DC2D    FF15 04944700     call dword ptr ds:[479404]            ; kernel32.GetVersionExA
0043DC33    8B4E 10           mov ecx,dword ptr ds:[esi+10]
0043DC36    890D 60DD4900     mov dword ptr ds:[49DD60],ecx

-----------------------------------------------------------------------------------------------------------------------------------------------------------
1。在把 00BE97FE    0F84 AD000000     je 00BE98B1 改为:
   00BE97FE    0F84 AD000000     jmp 00BE98B1
的时候,非要变成
00BE97FE    0F84 AD000000     jmp 00BE98B1
  地址                            90         NOP
后面的才不会变样。
2。不知道“在401000段 下      内存访问断点”这句怎么操作。我在401000这个地方下了个硬件断点,结果根本就没用。程序直接跑结束了。
PYG19周年生日快乐!
回复

使用道具 举报

野猫III
  • TA的每日心情
    开心
    2018-5-6 16:27

    • 签到天数: 7 天

    [LV.3]偶尔看看II
    发表于 2006-7-19 10:44:29 | 显示全部楼层
    这个壳一直以来咱都怕它~

    还没学脱它。。。
    PYG19周年生日快乐!
    回复 支持 反对

    使用道具 举报

    hrbx
  • TA的每日心情
    奋斗
    2016-10-21 20:30

    • 签到天数: 1 天

    [LV.1]初来乍到
    发表于 2006-7-19 13:00:26 | 显示全部楼层
    ALT+M,找到401000段 ,右键--内存访问断点,F9运行就直达OEP了
    PYG19周年生日快乐!
    回复 支持 反对

    使用道具 举报

    singlehero

    该用户从未签到
     楼主| 发表于 2006-7-19 15:29:51 | 显示全部楼层
    谢谢楼上各位哈。
    但是在内存断点后一直到不了 004C9B19 >  55                push ebp   这个位置,所以没办法dump
    不知道该在哪个位置dump,还是在这个程序已经被破坏了?
    PYG19周年生日快乐!
    回复 支持 反对

    使用道具 举报

    hrbx
  • TA的每日心情
    奋斗
    2016-10-21 20:30

    • 签到天数: 1 天

    [LV.1]初来乍到
    发表于 2006-7-19 21:32:05 | 显示全部楼层
    首先确认软件加的壳版本是:Armadillo 1.xx - 2.xx -> Silicon Realms Toolworks
    Peid识别常出错的。
    PYG19周年生日快乐!
    回复 支持 反对

    使用道具 举报

    singlehero

    该用户从未签到
     楼主| 发表于 2006-7-20 12:08:55 | 显示全部楼层
    我把内寸断点下在DATA段头。
    到了
    005482E0    60        PUSHAD
    这个地方,不知道是不是可以dump了?
    我在这个位置dump出来后。在修复的时候,居然说dump文件无效。
    PYG19周年生日快乐!
    回复 支持 反对

    使用道具 举报

    dryzh
  • TA的每日心情
    开心
    2018-7-9 22:48

    • 签到天数: 16 天

    [LV.4]偶尔看看III
    发表于 2006-7-20 23:23:30 | 显示全部楼层
    不是下在DATA
    而是TEXT
    听hrbx 兄弟的没错

    原帖由 hrbx 于 2006-7-19 13:00 发表
    ALT+M,找到401000段 ,右键--内存访问断点,F9运行就直达OEP了
    PYG19周年生日快乐!
    回复 支持 反对

    使用道具 举报

    singlehero

    该用户从未签到
     楼主| 发表于 2006-7-21 15:56:49 | 显示全部楼层
    楼上的兄弟,我用ALT+M 在401000(对应的CODE段)的位置下了短点,到达的位置就是不对,在DATA段下了个,能正常的破解出来。
    但是运行不了。
    由于本人是没入门的菜鸟,请各位原谅我的白痴问题哈。
    PYG19周年生日快乐!
    回复 支持 反对

    使用道具 举报

    Nisy

    该用户从未签到
    发表于 2006-7-21 19:40:56 | 显示全部楼层
    楼主把软件下载拿过来  

    今天脱Arm的时候 我也遇到了点问题
    ARM脱壳的问题 双进程 我修改了Magic Jump 然后下bp GetCurrentThreadId断点的时候 F9运行了两次 程序就自动OVER了 这是为什么呢?
    PYG19周年生日快乐!
    回复 支持 反对

    使用道具 举报

    返回列表 发新帖
    高级模式
    B Color Image Link Quote Code Smilies
    您需要登录后才可以回帖 登录 | 加入我们

    本版积分规则

    快速回复 返回顶部 返回列表