-
-
[求助]脱壳问题
-
发表于: 2007-10-8 13:20
-
我是新手,问题多多~~
我在脱Armadillo的时候遇到了些问题,希望高手指点一下。
首先:
★ 目标为Armadillo保护
Version 4.40 (Public Build)
保护系统级别为 (专业版)
◆所用到的保护模式有◆
屏蔽调试器
【备份密钥设置】
固定的备份密钥
【程序压缩设置】
较好/较慢地压缩方式
【其它保护设置】
然后我开始脱,藏了OD,下了断点,结果发现停在一个未知指令处,在我跳过n次后,程序自动结束。
我以为是我的断点问题,或是没有藏好OD,但是,运行脚本也是一样。。
shift+F8跟进的话,会在ntdll中,出现:
7C92EAF5 E8 C78C0200 call 7C9577C1
7C92EAFA 0AC0 or al, al
7C92EAFC 74 0C je short 7C92EB0A
7C92EAFE 5B pop ebx
7C92EAFF 59 pop ecx
7C92EB00 6A 00 push 0
7C92EB02 51 push ecx
7C92EB03 E8 11EBFFFF call ZwContinue
7C92EB08 EB 0B jmp short 7C92EB15
7C92EB0A 5B pop ebx
7C92EB0B 59 pop ecx
7C92EB0C 6A 00 push 0
7C92EB0E 51 push ecx
7C92EB0F 53 push ebx
7C92EB10 E8 3DF7FFFF call ZwRaiseException
执行7C92EB10后退出。。。7C92EB03是关键点。。(一直循环它)
F7跟入后有个sysenter不知做何用。
请高手与我联系,我是我去联系您。 QQ:171954268
拜托了~!!
我在脱Armadillo的时候遇到了些问题,希望高手指点一下。
首先:
★ 目标为Armadillo保护
Version 4.40 (Public Build)
保护系统级别为 (专业版)
◆所用到的保护模式有◆
屏蔽调试器
【备份密钥设置】
固定的备份密钥
【程序压缩设置】
较好/较慢地压缩方式
【其它保护设置】
然后我开始脱,藏了OD,下了断点,结果发现停在一个未知指令处,在我跳过n次后,程序自动结束。
我以为是我的断点问题,或是没有藏好OD,但是,运行脚本也是一样。。
shift+F8跟进的话,会在ntdll中,出现:
7C92EAF5 E8 C78C0200 call 7C9577C1
7C92EAFA 0AC0 or al, al
7C92EAFC 74 0C je short 7C92EB0A
7C92EAFE 5B pop ebx
7C92EAFF 59 pop ecx
7C92EB00 6A 00 push 0
7C92EB02 51 push ecx
7C92EB03 E8 11EBFFFF call ZwContinue
7C92EB08 EB 0B jmp short 7C92EB15
7C92EB0A 5B pop ebx
7C92EB0B 59 pop ecx
7C92EB0C 6A 00 push 0
7C92EB0E 51 push ecx
7C92EB0F 53 push ebx
7C92EB10 E8 3DF7FFFF call ZwRaiseException
执行7C92EB10后退出。。。7C92EB03是关键点。。(一直循环它)
F7跟入后有个sysenter不知做何用。
请高手与我联系,我是我去联系您。 QQ:171954268
拜托了~!!
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
