好友
阅读权限25
听众
最后登录1970-1-1
|
本帖最后由 2666fff 于 2010-7-31 19:16 编辑
只求脱壳破挂的现在就可以离开,因为这个壳脱壳机可以脱下。
录像60M,我也郁闷怎么这么大。。
文字版:http://www.52pojie.cn/viewthread.php?tid=55040&page=1
www.52pojie.cn
by:2666fff
-------------------------------------------
穿山甲6.60版 非标准双进程手脱。
<- 31-07-2010 12:26:10 - [1.9] ->
C:\Documents and Settings\Administrator\桌面\Dnf香妃.exe
目标为Armadillo保护
!- 保护系统级别为 (专业版)
!-<所使用的保护模式>
屏蔽调试器
双进程模式
!- <备份密钥设置>
可变的备份钥匙
!- <目标程序压缩设置>
最好 / 最慢的压缩方式
!<其它保护设置>
关闭监视进程
版本号 6.60 19-05-2009
<- 共消耗时间 00时00分07秒672毫秒 ->
开始,OD用我给的这个比较好,其他的会出现错误。
ArmaDetach.exe 非常好的穿山甲脱壳辅助工具。
勾要去掉,因为这个版本上不适用。
Crypto call found: [004463EB]
Child process iD: [00000250]
Entry point: [0040AF10]
Original bytes: [558BEC6A]
OD一会要附加 250 进程。
OEP字节:558BEC6A
补完OEp后查看下输入表先。
无效的很多,证明输入表被擦出了。
记着最初的地址。
0000d000
即 0040d000
再开一个OD
这次选中Debug-Blocker,同样去掉勾
Child process iD: [000007FC]
Entry point: [00482000]
Original bytes: [60E80000]
这次我们是要找到完整的IAT所以,需要处理magic jmp
下硬件写入断点。
shift+f9
暂停第一次,继续运行。直至0040d000等出现东西。
这样就可以了,开始找magic jmp,先取消硬件断点。
F8单步。
这里就是magic jmp,跟之前版本不一样,下硬件执行断点。
结束进程,重新载入。
OD突然结束,擦
修改过OEp后,直接运行。
magic jmp 改为 jmp
换回第一个OD,然后找到IAT的结束位置,按住shift,点击鼠标左键,也就是全选整个IAT
0040d3dc就是IAT结束了,再进入第二个OD,在此处下硬件写入断点。
运行,哦,删掉之前断下的。
出现完整的IAT数据了,先转到0040d0000,然后按住shift,点击鼠标左键。
二进制全部复制。
进入第一个OD,选中全部IAT,二进制粘贴。
出现红色的,证明我们修改过了。
打开UIF
进程ID: 250 (好ID!)
起始 :00401000
终止:00642000
新的IAT VA,我们自己选个区段放进去,我们选SFX段:00482000
开始修复,完成了。
IR,lodepe,开始脱壳。
全部有效,修复脱过的。
运行试试。
OK!
------------------------------------
录像下载:
http://u.115.com/file/f5de2322af
教程所用OD下载:
http://tuts4you.com/request.php?553 |
免费评分
-
查看全部评分
|
发帖前要善用【论坛搜索】功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。 |
|
|
|
|
|
|
发表于 2010-7-31 17:28
