请教各位前辈一个Armadillo壳的问题-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (7)
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 2 楼 1.修改eip后在OpenMutexA按F4 2.bp没有异常, 一定可以f9.硬件断点输入he GetModuleHandleA+5 2004-8-13 23:20 0
swordman 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	swordman 3 楼前辈的意思是直接用he GetModuleHandleA+5来设置硬件断点？？还有关于第一个：“修改eip后在OpenMutexA按F4 ”是什么意思呢，是不是修改eip侯后按F9返回，然后在OpenMutexA处直接按F4，取消断点呢？？记得Fly前辈的帖子好像是这样的：修改eip后按F9断在OpenMutexA处，取消断点，然后直接下BP GetModuleHandleA+5，此后shift+F9，看堆栈数据....... 还请前辈指点，谢谢 2004-8-13 23:29 0
fly 雪币： 898 活跃值： (4054) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 34 关注私信	fly 85 4 楼 “修改eip后在OpenMutexA按F4” ――不懂如果不是标准壳的话，则无法这样完成脱壳 2004-8-13 23:38 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 5 楼不知道脱的是什么, 在401000按Ctrl+*然后会跳回OpenMutextA吧 2004-8-13 23:42 0
swordman 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	swordman 6 楼 Fly和Forgot前辈，小弟还是不怎么明白您的指点，我把那个东西穿了上来，不知您能不能帮忙看看，谢谢 2004-8-14 12:38 0
SwordLea 雪币： 209 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 43 粉丝 1 关注私信	SwordLea 7 楼写个ollydbg脚本， var x gpa "OpenMutexA", "KERNEL32.dll" mov x, $RESULT BP x run BC x mov eip , 401000 asm eip , "PUSHAD" add eip, 1 asm eip , "PUSHFD" add eip, 1 asm eip , "PUSH 12FBB4" add eip, 5 asm eip , "XOR EAX,EAX" add eip, 2 mov [eip] , 5050 add eip, 2 asm eip, "CALL CreateMutexA" add eip, 5 asm eip, "POPFD" add eip, 1 asm eip, "POPAD" add eip, 1 asm eip, "JMP OpenMutexA" mov eip , 401000 rtr 2004-8-14 14:59 0
swordman 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	swordman 8 楼请问前辈这个脚本怎么用啊,直接写入欺骗不行吗 2004-8-14 21:28 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (7)
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 2 楼 1.修改eip后在OpenMutexA按F4 2.bp没有异常, 一定可以f9.硬件断点输入he GetModuleHandleA+5 2004-8-13 23:20 0
swordman 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	swordman 3 楼前辈的意思是直接用he GetModuleHandleA+5来设置硬件断点？？还有关于第一个：“修改eip后在OpenMutexA按F4 ”是什么意思呢，是不是修改eip侯后按F9返回，然后在OpenMutexA处直接按F4，取消断点呢？？记得Fly前辈的帖子好像是这样的：修改eip后按F9断在OpenMutexA处，取消断点，然后直接下BP GetModuleHandleA+5，此后shift+F9，看堆栈数据....... 还请前辈指点，谢谢 2004-8-13 23:29 0
fly 雪币： 898 活跃值： (4054) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 34 关注私信	fly 85 4 楼 “修改eip后在OpenMutexA按F4” ――不懂如果不是标准壳的话，则无法这样完成脱壳 2004-8-13 23:38 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 5 楼不知道脱的是什么, 在401000按Ctrl+*然后会跳回OpenMutextA吧 2004-8-13 23:42 0
swordman 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	swordman 6 楼 Fly和Forgot前辈，小弟还是不怎么明白您的指点，我把那个东西穿了上来，不知您能不能帮忙看看，谢谢 2004-8-14 12:38 0
SwordLea 雪币： 209 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 43 粉丝 1 关注私信	SwordLea 7 楼写个ollydbg脚本， var x gpa "OpenMutexA", "KERNEL32.dll" mov x, $RESULT BP x run BC x mov eip , 401000 asm eip , "PUSHAD" add eip, 1 asm eip , "PUSHFD" add eip, 1 asm eip , "PUSH 12FBB4" add eip, 5 asm eip , "XOR EAX,EAX" add eip, 2 mov [eip] , 5050 add eip, 2 asm eip, "CALL CreateMutexA" add eip, 5 asm eip, "POPFD" add eip, 1 asm eip, "POPAD" add eip, 1 asm eip, "JMP OpenMutexA" mov eip , 401000 rtr 2004-8-14 14:59 0
swordman 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	swordman 8 楼请问前辈这个脚本怎么用啊,直接写入欺骗不行吗 2004-8-14 21:28 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复