[求助]穿山甲的壳，高手帮忙，谢谢！-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] [求助]穿山甲的壳，高手帮忙，谢谢！ 0.00雪花

发表于: 2009-3-13 13:27 3046

[旧帖] [求助]穿山甲的壳，高手帮忙，谢谢！ 0.00雪花

独狼

2009-3-13 13:27

3046

PEID查到：Armadillo 2.51 - 3.xx DLL Stub -> Silicon Realms Toolworks
HE OutputDebugStringA -----------Shift+F9 如下：
0006EAB8  00B74297  /CALL 到 OutputDebugStringA 来自 00B74291
0006EABC  0006F408  \String = "%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s%s"
判断应该是Armadillo4.X的壳。
BP GetModuleHandleA+5--------Shift+F9 运行中断后，找到堆栈：
0006978C  |00B75838  返回到 00B75838 来自 kernel32.GetModuleHandleA
00069790  |00B89BAC  ASCII "kernel32.dll"
00069794  |00B8AE48  ASCII "VirtualAlloc"
00069798  |7C9210E0  ntdll.RtlLeaveCriticalSection

0006978C  |00B75855  返回到 00B75855 来自 kernel32.GetModuleHandleA
00069790  |00B89BAC  ASCII "kernel32.dll"
00069794  |00B8AE3C  ASCII "VirtualFree"
00069798  |7C9210E0  ntdll.RtlLeaveCriticalSection

取消断点---返回后
00B652CA 8B0D 3C1EB900  MOV ECX,DWORD PTR DS:[B91E3C]
00B652D0 89040E       MOV DWORD PTR DS:[ESI+ECX],EAX
00B652D3 A1 3C1EB900 MOV EAX,DWORD PTR DS:[B91E3C]
00B652D8 391C06       CMP DWORD PTR DS:[ESI+EAX],EBX
00B652DB 75 16       JNZ SHORT 00B652F3
00B652DD 8D85 B4FEFFFF  LEA EAX,DWORD PTR SS:[EBP-14C]
00B652E3 50             PUSH EAX
00B652E4 FF15 B842B800  CALL DWORD PTR DS:[B842B8]             ; kernel32.LoadLibraryA
00B652EA 8B0D 3C1EB900  MOV ECX,DWORD PTR DS:[B91E3C]
00B652F0 89040E       MOV DWORD PTR DS:[ESI+ECX],EAX
00B652F3 A1 3C1EB900 MOV EAX,DWORD PTR DS:[B91E3C]
00B652F8 391C06       CMP DWORD PTR DS:[ESI+EAX],EBX
00B652FB 0F84 2F010000  JE 00B65430                                                       ;JMP 00B65430
00B65301 33C9          XOR ECX,ECX
00B65303 8B07          MOV EAX,DWORD PTR DS:[EDI]
00B65305 3918          CMP DWORD PTR DS:[EAX],EBX
00B65307 74 06       JE SHORT 00B6530F
00B65309 41             INC ECX
00B6530A 83C0 0C       ADD EAX,0C
00B6530D  ^ EB F6       JMP SHORT 00B65305

  JE 00B65430改JMP 00B65430

。。。。。。。。。。。。

脱壳简单，但是重定位总是弄错，就不发了下面的操作了，希望高手能帮助脱壳并修复下，感谢！

如果您脱壳了希望发到我的邮箱：  799591917@qq.com

第一次求助，希望高手不要吝啬，谢谢了！

下面是加壳的DLL文件下载地址：

a13K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4m8S2L8X3W2V1L8r3N6Q4x3X3g2&6M7K6p5$3z5q4)9J5k6h3y4G2L8g2)9J5c8W2)9J5y4X3&6T1M7%4m8Q4x3@1u0Q4x3U0k6F1j5Y4y4H3i4K6y4n7i4@1f1%4i4@1u0p5i4K6V1I4i4@1f1%4i4@1u0n7i4K6W2o6i4@1f1%4i4@1p5I4i4@1q4o6i4@1f1%4i4K6W2n7i4K6V1^5i4@1f1&6i4K6R3%4i4K6S2o6i4@1f1#2i4K6S2r3i4@1q4m8i4@1f1$3i4K6W2o6i4K6R3&6i4@1f1@1i4@1t1^5i4K6R3H3i4@1f1@1i4@1t1^5i4@1q4m8i4@1f1$3i4K6V1$3i4K6R3%4i4@1f1@1i4@1u0n7i4@1t1$3f1W2y4Q4x3X3g2V1L8r3I4Q4c8f1k6Q4b7V1y4Q4z5p5y4Q4c8e0g2Q4b7U0m8Q4b7U0q4Q4c8e0k6Q4z5e0S2Q4b7f1k6Q4c8e0S2Q4b7V1k6Q4z5e0W2Q4c8e0c8Q4b7U0S2Q4b7f1q4Q4c8f1k6Q4b7V1y4Q4z5p5y4Q4c8e0S2Q4b7U0m8Q4b7e0u0Q4c8e0S2Q4b7U0m8Q4b7e0u0Q4c8e0W2Q4b7f1u0Q4z5e0S2Q4c8e0k6Q4z5o6W2Q4z5p5u0Q4c8f1k6Q4b7V1y4Q4z5o6p5`.

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・0

免费・0

支持

最新回复 (2)
独狼雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 15 粉丝 0 关注私信	独狼 2 楼或者高手给予我解答，万分感谢 2009-3-13 13:29 0
独狼雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 15 粉丝 0 关注私信	独狼 3 楼曾经查看过一些学习资料，重定位查找 PUSH EAX XCHG CX,CX POP EAX STC 这个，查不到，汗！估计是加壳方式不同之类，我菜鸟，希望高手指点！ 2009-3-13 13:30 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

独狼

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (2)
独狼雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 15 粉丝 0 关注私信	独狼 2 楼或者高手给予我解答，万分感谢 2009-3-13 13:29 0
独狼雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 15 粉丝 0 关注私信	独狼 3 楼曾经查看过一些学习资料，重定位查找 PUSH EAX XCHG CX,CX POP EAX STC 这个，查不到，汗！估计是加壳方式不同之类，我菜鸟，希望高手指点！ 2009-3-13 13:30 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复