请各位大哥赐教，脱Armadillo时远地址jmp与iat乱序问题-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (7)
yesky1 雪币： 251 活跃值： (260) 能力值： ( LV12，RANK：210 ) 在线值：发帖 6 回帖 59 粉丝 2 关注私信	yesky1 5 2 楼远地址跳转参见 1b1K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3N6J5K9h3&6V1k6i4u0K6i4K6u0W2N6$3W2@1K9r3g2J5L8Y4y4W2j5g2)9J5k6h3y4G2L8g2)9J5c8Y4c8#2N6r3!0J5K9h3q4D9M7#2)9J5c8X3k6A6L8r3g2Q4y4h3k6A6L8X3k6G2i4K6u0r3k6r3!0%4L8X3I4G2j5h3b7I4i4K6u0W2M7r3S2H3i4K6y4r3k6X3W2D9k6g2)9K6c8p5q4J5L8h3q4V1K9h3I4D9L8#2)9#2k6V1q4F1N6r3W2V1N6h3#2H3M7#2)9#2k6V1u0&6i4K6g2X3c8h3N6Y4K9g2)9J5k6i4u0S2M7R3`.`. 不过它的办法有些罗嗦，可以直接下断VirtualAlloc，查看申请地址值，如果比较大就需要注意了，返回后代码类似下面 00DE2612 6A 40 PUSH 40 00DE2614 68 00200000 PUSH 2000 00DE2619 FFB5 70E6FFFF PUSH DWORD PTR SS:[EBP-1990] 00DE261F FF35 3092DF00 PUSH DWORD PTR DS:[DF9230] 00DE2625 FF15 A0B1DE00 CALL DWORD PTR DS:[DEB1A0] ; kernel32.VirtualAlloc 00DE262B 8985 78E6FFFF MOV DWORD PTR SS:[EBP-1988],EAX 00DE2631 83BD 78E6FFFF 0>CMP DWORD PTR SS:[EBP-1988],0 00DE2638 74 33 JE SHORT 00DE266D 00DE263A 6A 40 PUSH 40 00DE263C 68 00100000 PUSH 1000 00DE2641 FFB5 70E6FFFF PUSH DWORD PTR SS:[EBP-1990] 00DE2647 FF35 3092DF00 PUSH DWORD PTR DS:[DF9230] 00DE264D FF15 A0B1DE00 CALL DWORD PTR DS:[DEB1A0] ; kernel32.VirtualAlloc 00DE2653 8985 78E6FFFF MOV DWORD PTR SS:[EBP-1988],EAX //保存codesplit 首地址在这里断下修改eax值到一较低地址 00DE2659 83BD 78E6FFFF 0>CMP DWORD PTR SS:[EBP-1988],0 00DE2660 74 0B JE SHORT 00DE266D iat乱序可以看看Ricardo Narvaja的教程203-208ARMADILLO WITH DESTRUCTION OF TABLE 不过它的iat最后使用了一段smc代码完成正常iat到乱序iat的转换其实完全可以用一段简单脚本修改代码段，来修复iat函数的调用有空我会整理一篇iat乱序的修复示例 codesplit现在没看到好的修复办法，那n重循环看起来就头痛。 2004-10-20 13:23 0
fly 雪币： 898 活跃值： (4054) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 34 关注私信	fly 85 3 楼 3e9K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3N6J5K9h3&6V1k6i4u0K6i4K6u0W2N6$3W2@1K9r3g2J5L8Y4y4W2j5g2)9J5k6h3y4G2L8g2)9J5c8Y4c8#2N6r3!0Q4x3X3g2Q4x3X3g2Q4x3X3g2E0M7s2y4Q4y4h3k6n7P5g2)9#2k6V1g2Y4k6$3W2Q4x3X3g2J5j5i4t1`. 无法下载，如果不大的话，麻烦兄弟传在这里 2004-10-20 13:44 0
yesky1 雪币： 251 活跃值： (260) 能力值： ( LV12，RANK：210 ) 在线值：发帖 6 回帖 59 粉丝 2 关注私信	yesky1 5 4 楼汗，没注意到是个死链 Armadillo_Antidumps_By_Eggi 附件:Arm_Eggi.part1.rar 附件:Arm_Eggi.part2.rar 2004-10-20 13:58 0
yesky1 雪币： 251 活跃值： (260) 能力值： ( LV12，RANK：210 ) 在线值：发帖 6 回帖 59 粉丝 2 关注私信	yesky1 5 5 楼 Ricardo Narvaja的教程203-208ARMADILLO WITH DESTRUCTION OF TABLE 我用翻译软件转到英语了，凑合着看吧，好在Ricardo的教程里图比较多 :) 附件:arm203_208.part1.rar 附件:arm203_208.part2.rar 附件:arm203_208.part3.rar 附件:arm203_208.part4.rar 2004-10-20 14:05 0
fly 雪币： 898 活跃值： (4054) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 34 关注私信	fly 85 6 楼 thanks :D 期待兄弟的实例教程 2004-10-20 14:35 0
XCyber 雪币： 220 活跃值： (55) 能力值： ( LV6，RANK：90 ) 在线值：发帖 4 回帖 39 粉丝 0 关注私信	XCyber 2 7 楼感激不尽努力学习中... 2004-10-20 14:51 0
baby 雪币： 250 活跃值： (140) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 194 粉丝 1 关注私信	baby 8 楼好文章，可惜我不懂英文。哪位大侠有时间翻译一下 2004-10-21 09:55 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (7)
yesky1 雪币： 251 活跃值： (260) 能力值： ( LV12，RANK：210 ) 在线值：发帖 6 回帖 59 粉丝 2 关注私信	yesky1 5 2 楼远地址跳转参见 1b1K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3N6J5K9h3&6V1k6i4u0K6i4K6u0W2N6$3W2@1K9r3g2J5L8Y4y4W2j5g2)9J5k6h3y4G2L8g2)9J5c8Y4c8#2N6r3!0J5K9h3q4D9M7#2)9J5c8X3k6A6L8r3g2Q4y4h3k6A6L8X3k6G2i4K6u0r3k6r3!0%4L8X3I4G2j5h3b7I4i4K6u0W2M7r3S2H3i4K6y4r3k6X3W2D9k6g2)9K6c8p5q4J5L8h3q4V1K9h3I4D9L8#2)9#2k6V1q4F1N6r3W2V1N6h3#2H3M7#2)9#2k6V1u0&6i4K6g2X3c8h3N6Y4K9g2)9J5k6i4u0S2M7R3`.`. 不过它的办法有些罗嗦，可以直接下断VirtualAlloc，查看申请地址值，如果比较大就需要注意了，返回后代码类似下面 00DE2612 6A 40 PUSH 40 00DE2614 68 00200000 PUSH 2000 00DE2619 FFB5 70E6FFFF PUSH DWORD PTR SS:[EBP-1990] 00DE261F FF35 3092DF00 PUSH DWORD PTR DS:[DF9230] 00DE2625 FF15 A0B1DE00 CALL DWORD PTR DS:[DEB1A0] ; kernel32.VirtualAlloc 00DE262B 8985 78E6FFFF MOV DWORD PTR SS:[EBP-1988],EAX 00DE2631 83BD 78E6FFFF 0>CMP DWORD PTR SS:[EBP-1988],0 00DE2638 74 33 JE SHORT 00DE266D 00DE263A 6A 40 PUSH 40 00DE263C 68 00100000 PUSH 1000 00DE2641 FFB5 70E6FFFF PUSH DWORD PTR SS:[EBP-1990] 00DE2647 FF35 3092DF00 PUSH DWORD PTR DS:[DF9230] 00DE264D FF15 A0B1DE00 CALL DWORD PTR DS:[DEB1A0] ; kernel32.VirtualAlloc 00DE2653 8985 78E6FFFF MOV DWORD PTR SS:[EBP-1988],EAX //保存codesplit 首地址在这里断下修改eax值到一较低地址 00DE2659 83BD 78E6FFFF 0>CMP DWORD PTR SS:[EBP-1988],0 00DE2660 74 0B JE SHORT 00DE266D iat乱序可以看看Ricardo Narvaja的教程203-208ARMADILLO WITH DESTRUCTION OF TABLE 不过它的iat最后使用了一段smc代码完成正常iat到乱序iat的转换其实完全可以用一段简单脚本修改代码段，来修复iat函数的调用有空我会整理一篇iat乱序的修复示例 codesplit现在没看到好的修复办法，那n重循环看起来就头痛。 2004-10-20 13:23 0
fly 雪币： 898 活跃值： (4054) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 34 关注私信	fly 85 3 楼 3e9K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3N6J5K9h3&6V1k6i4u0K6i4K6u0W2N6$3W2@1K9r3g2J5L8Y4y4W2j5g2)9J5k6h3y4G2L8g2)9J5c8Y4c8#2N6r3!0Q4x3X3g2Q4x3X3g2Q4x3X3g2E0M7s2y4Q4y4h3k6n7P5g2)9#2k6V1g2Y4k6$3W2Q4x3X3g2J5j5i4t1`. 无法下载，如果不大的话，麻烦兄弟传在这里 2004-10-20 13:44 0
yesky1 雪币： 251 活跃值： (260) 能力值： ( LV12，RANK：210 ) 在线值：发帖 6 回帖 59 粉丝 2 关注私信	yesky1 5 4 楼汗，没注意到是个死链 Armadillo_Antidumps_By_Eggi 附件:Arm_Eggi.part1.rar 附件:Arm_Eggi.part2.rar 2004-10-20 13:58 0
yesky1 雪币： 251 活跃值： (260) 能力值： ( LV12，RANK：210 ) 在线值：发帖 6 回帖 59 粉丝 2 关注私信	yesky1 5 5 楼 Ricardo Narvaja的教程203-208ARMADILLO WITH DESTRUCTION OF TABLE 我用翻译软件转到英语了，凑合着看吧，好在Ricardo的教程里图比较多 :) 附件:arm203_208.part1.rar 附件:arm203_208.part2.rar 附件:arm203_208.part3.rar 附件:arm203_208.part4.rar 2004-10-20 14:05 0
fly 雪币： 898 活跃值： (4054) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 34 关注私信	fly 85 6 楼 thanks :D 期待兄弟的实例教程 2004-10-20 14:35 0
XCyber 雪币： 220 活跃值： (55) 能力值： ( LV6，RANK：90 ) 在线值：发帖 4 回帖 39 粉丝 0 关注私信	XCyber 2 7 楼感激不尽努力学习中... 2004-10-20 14:51 0
baby 雪币： 250 活跃值： (140) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 194 粉丝 1 关注私信	baby 8 楼好文章，可惜我不懂英文。哪位大侠有时间翻译一下 2004-10-21 09:55 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复