-
-
armadillo3.78脱壳修复后的问题,老大帮忙看看
-
发表于: 2005-8-23 10:32
-
我的已经到了oep
但是用ImportREC修复后使用不了
我参照http://bbs.pediy.com/showthread.php?s=&threadid=14954&perpage=15&highlight=Armadillo%203.78&pagenumber=1
到了这个地方了
004B3A02 6A 60 push 60 <<<这个地方就是通过范例找到的OEP,用lordpe完全dump下来
004B3A04 68 90DA5C00 push FlyWoool.005CDA90
004B3A09 E8 2A070000 call FlyWoool.004B4138
004B3A0E BF 94000000 mov edi,94
004B3A13 8BC7 mov eax,edi
004B3A15 E8 56D2FFFF call FlyWoool.004B0C70
004B3A1A 8965 E8 mov dword ptr ss:[ebp-18],esp
004B3A1D 8BF4 mov esi,esp
004B3A1F 893E mov dword ptr ds:[esi],edi
004B3A21 56 push esi
004B3A22 FF15 A4045B00 call dword ptr ds:[5B04A4] ; KERNEL32.GetVersionExA
004B3A28 8B4E 10 mov ecx,dword ptr ds:[esi+10]
004B3A2B 890D 6C536F00 mov dword ptr ds:[6F536C],ecx
004B3A31 8B46 04 mov eax,dword ptr ds:[esi+4]
004B3A34 A3 78536F00 mov dword ptr ds:[6F5378],eax
004B3A39 8B56 08 mov edx,dword ptr ds:[esi+8]
004B3A3C 8915 7C536F00 mov dword ptr ds:[6F537C],edx
004B3A42 8B76 0C mov esi,dword ptr ds:[esi+C]
004B3A45 81E6 FF7F0000 and esi,7FFF
004B3A4B 8935 70536F00 mov dword ptr ds:[6F5370],esi
004B3A51 83F9 02 cmp ecx,2
004B3A54 74 0C je short FlyWoool.004B3A62
004B3A56 81CE 00800000 or esi,8000
004B3A5C 8935 70536F00 mov dword ptr ds:[6F5370],esi
004B3A62 C1E0 08 shl eax,8
004B3A65 03C2 add eax,edx
004B3A67 A3 74536F00 mov dword ptr ds:[6F5374],eax
004B3A6C 33F6 xor esi,esi
004B3A6E 56 push esi
004B3A6F 8B3D 44045B00 mov edi,dword ptr ds:[5B0444] ; KERNEL32.GetModuleHandleA
004B3A75 FFD7 call edi
用ImportREC 修复发现有无效的函数,1级修复不了,2级修复importrec不动了
,cut无效函数,最后fix程序后,发现不能使用修复后的程序。
不知道是工具的设置不对还是其他什么原因,请高手指点。
该程序是由Armadillo 3.78 -> Silicon Realms Toolworks加壳
痛苦中。。。。。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
