-
-
脱壳中遇到的问题 Armadillo 3.78 向各位大哥请教
-
发表于: 2005-11-3 10:48
-
File Recover
554K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3c8G2N6$3&6D9L8$3q4V1i4K6u0W2j5$3!0E0i4K6u0r3c8X3W2D9k6g2)9J5k6q4u0W2j5$3!0$3k6i4u0Q4x3V1j5K6x3o6l9H3i4K6u0V1x3U0t1@1z5q4)9#2k6U0c8Q4x3X3b7I4x3o6x3^5x3o6V1$3x3g2)9J5k6h3S2@1L8h3H3`.
检测是 Armadillo 3.78 -> Silicon Realms Toolworks [Overlay]
我试着脱了一下
IAT需要信息
OEP 0001FAFD
RAV 00021000 SIZE 0000058C
第一次来到这里时
001265CC 00CEAC13 /CALL 到 GetModuleHandleA 来自 00CEAC0D
001265D0 00126710 \pModule = "kernel32.dll"
如果返回改了jmp 就会出现下面的提示
而且不取消中断的话,还会中断到另一处
0011EC74 0157AC13 /CALL 到 GetModuleHandleA 来自 0157AC0D
0011EC78 0011EDB8 \pModule = "kernel32.dll"
也有一段可以jmp的地方
请问这是怎么回事呢?
我看了hacnho大哥的教程,没找到这样的,主要是教程基本上都不是英文的
我只能看图学习,另外说一句,里面的flash教材很好
554K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3c8G2N6$3&6D9L8$3q4V1i4K6u0W2j5$3!0E0i4K6u0r3c8X3W2D9k6g2)9J5k6q4u0W2j5$3!0$3k6i4u0Q4x3V1j5K6x3o6l9H3i4K6u0V1x3U0t1@1z5q4)9#2k6U0c8Q4x3X3b7I4x3o6x3^5x3o6V1$3x3g2)9J5k6h3S2@1L8h3H3`.
检测是 Armadillo 3.78 -> Silicon Realms Toolworks [Overlay]
我试着脱了一下
IAT需要信息
OEP 0001FAFD
RAV 00021000 SIZE 0000058C
第一次来到这里时
001265CC 00CEAC13 /CALL 到 GetModuleHandleA 来自 00CEAC0D
001265D0 00126710 \pModule = "kernel32.dll"
如果返回改了jmp 就会出现下面的提示
而且不取消中断的话,还会中断到另一处
0011EC74 0157AC13 /CALL 到 GetModuleHandleA 来自 0157AC0D
0011EC78 0011EDB8 \pModule = "kernel32.dll"
也有一段可以jmp的地方
请问这是怎么回事呢?
我看了hacnho大哥的教程,没找到这样的,主要是教程基本上都不是英文的
我只能看图学习,另外说一句,里面的flash教材很好
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
|
|
 没有大哥帮看看吗?自己鼎一下
|
|
|
CheckCode
下一个 ArmAccess.dll ,脱壳后的程序就可以用乐 附件:armaccess.zip arm 果然是好东西  还是未注册,不过关于 ArmAccess.dll 网上好多有意思的东西 |
