[求助]请教脱arm壳的问题-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (6)
fly 雪币： 898 活跃值： (4054) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 34 关注私信	fly 85 2 楼先去用Armadillo标准方式加壳记事本练习 2005-7-25 16:29 0
henryouly 雪币： 270 活跃值： (312) 能力值： ( LV9，RANK：330 ) 在线值：发帖 17 回帖 103 粉丝 0 关注私信	henryouly 8 3 楼这个问题解决了，前面漏了一步用LordPE把镜像dump出来。用这个镜像exe就可以通过fix dump，可是出来的dump_.exe非法操作，已经用LordPE把IAT修复了（用ImportREC auto search出来那个值）。这是什么原因呢？我看了很多教程都说修复IAT就可以了…… 2005-7-25 22:40 0
henryouly 雪币： 270 活跃值： (312) 能力值： ( LV9，RANK：330 ) 在线值：发帖 17 回帖 103 粉丝 0 关注私信	henryouly 8 4 楼我自己弄明白了，这里需要手动修复非法指针我看到里面很多指针里面的代码都是类似 00E6E0E1 mov edx,[EA01B8] // ~= kernel32.dll/00D4/FindNextFileA 00E6E0E7 add edx,64 00E6E0EA call edx 00E6E0EC mov edx,[EA0144] // ~= kernel32.dll/016F/GetModuleFileNameW 00E6E0F2 add edx,64 00E6E0F5 mov ecx,5 所以正确的指针应该是GetModuleFileNameW后面64偏移的那个。arm的壳用这招来混淆辅助工具的判断。我跟踪了一下，FindNextFileA后面的偏移64是GetTickCount，GetModuleFileNameW后面是GetModuleHandleA。可是几十个函数都这样跟踪工作量好大，有没有查表或者其他好的办法呢？请版大帮帮忙，我试过记事本是一下就fix dump成功了，没有碰到过要手动修复的情况…… 2005-7-26 14:40 0
fly 雪币： 898 活跃值： (4054) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 34 关注私信	fly 85 5 楼脱壳时避开输入表加密 2005-7-26 14:42 0
henryouly 雪币： 270 活跃值： (312) 能力值： ( LV9，RANK：330 ) 在线值：发帖 17 回帖 103 粉丝 0 关注私信	henryouly 8 6 楼原来破解magic jump就是指这里的处理。按照版大的提示终于知道下一步应该怎么做，magic jump附近的指令和其他教程上的稍微有差别，不过还是认出来，成功破解了。谢谢版大。 2005-7-28 00:28 0
fly 雪币： 898 活跃值： (4054) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 34 关注私信	fly 85 7 楼恭喜你进阶了真的付出，就会有所收获 2005-7-28 13:12 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (6)
fly 雪币： 898 活跃值： (4054) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 34 关注私信	fly 85 2 楼先去用Armadillo标准方式加壳记事本练习 2005-7-25 16:29 0
henryouly 雪币： 270 活跃值： (312) 能力值： ( LV9，RANK：330 ) 在线值：发帖 17 回帖 103 粉丝 0 关注私信	henryouly 8 3 楼这个问题解决了，前面漏了一步用LordPE把镜像dump出来。用这个镜像exe就可以通过fix dump，可是出来的dump_.exe非法操作，已经用LordPE把IAT修复了（用ImportREC auto search出来那个值）。这是什么原因呢？我看了很多教程都说修复IAT就可以了…… 2005-7-25 22:40 0
henryouly 雪币： 270 活跃值： (312) 能力值： ( LV9，RANK：330 ) 在线值：发帖 17 回帖 103 粉丝 0 关注私信	henryouly 8 4 楼我自己弄明白了，这里需要手动修复非法指针我看到里面很多指针里面的代码都是类似 00E6E0E1 mov edx,[EA01B8] // ~= kernel32.dll/00D4/FindNextFileA 00E6E0E7 add edx,64 00E6E0EA call edx 00E6E0EC mov edx,[EA0144] // ~= kernel32.dll/016F/GetModuleFileNameW 00E6E0F2 add edx,64 00E6E0F5 mov ecx,5 所以正确的指针应该是GetModuleFileNameW后面64偏移的那个。arm的壳用这招来混淆辅助工具的判断。我跟踪了一下，FindNextFileA后面的偏移64是GetTickCount，GetModuleFileNameW后面是GetModuleHandleA。可是几十个函数都这样跟踪工作量好大，有没有查表或者其他好的办法呢？请版大帮帮忙，我试过记事本是一下就fix dump成功了，没有碰到过要手动修复的情况…… 2005-7-26 14:40 0
fly 雪币： 898 活跃值： (4054) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 34 关注私信	fly 85 5 楼脱壳时避开输入表加密 2005-7-26 14:42 0
henryouly 雪币： 270 活跃值： (312) 能力值： ( LV9，RANK：330 ) 在线值：发帖 17 回帖 103 粉丝 0 关注私信	henryouly 8 6 楼原来破解magic jump就是指这里的处理。按照版大的提示终于知道下一步应该怎么做，magic jump附近的指令和其他教程上的稍微有差别，不过还是认出来，成功破解了。谢谢版大。 2005-7-28 00:28 0
fly 雪币： 898 活跃值： (4054) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 34 关注私信	fly 85 7 楼恭喜你进阶了真的付出，就会有所收获 2005-7-28 13:12 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复