偶尔看到的，试了一下，感觉比较好用，原文在e38K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8U0j5$3i4K6u0W2z5e0S2Q4x3X3f1I4x3K6u0Q4x3X3f1@1z5q4)9J5c8X3k6G2M7Y4g2E0i4K6u0r3M7$3S2G2N6%4c8Z5M7X3g2S2k6q4)9J5k6i4m8Z5M7q4)9K6c8Y4c8Q4x3@1b7$3x3o6R3#2

大概是这样
设断点 CreateThread 或者SetProcessWorkingSetSize
停下来后，Ctrl+F9返回，
然后右键 Search for -- All Referenced text strings
到text reference窗口，右键 Search for text
选中Entire scope搜索字符串: armVersion
来到这里
Text strings referenced in 01030000..01077FFF, item 57
Address=0103481C
Disassembly=PUSH 106300C
Text string=ASCII "   <armVersion xsi:type="xsd:string">%s</armVersion>
"
貌似Armadillo的xml格式配置文件?
双击该行来到disassemble窗口，向上拖动一行
看到
01034817    68 44300601     PUSH 1063044                             ; ASCII "3.76"
0103481C    68 0C300601     PUSH 106300C                             ; ASCII "   <armVersion xsi:type="xsd:string">%s</armVersion>
"
啊哈，这正是Armadillo的版本号，据说此法从Armadillo3.20c到最新版的Armadillo都支持。

[培训]科锐逆向工程师培训第53期2025年7月8日开班！