穿山甲6.24 脱壳疑问

msn1900 · 发表于 2009-2-9 16:50:33

这个是吉祥天的外挂。很不道德下了
http://download.jxtwg.cn/jxt.rar
用那个ARMA FP扫描后

msn1900 · 发表于 2009-2-9 16:51:32

麻烦下LS牛牛了

saning · 发表于 2009-2-12 19:30:43

楼主牛哦，顺便搞定了，我也看看版主怎么搞的？呵呵

msn1900 · 发表于 2009-2-12 20:06:43

到目前为止，我还没搞定。。。郁闷啊

寂寞的季节 · 发表于 2009-2-12 21:46:43

吉祥天的外挂是不是对ARM情有独钟？

saning · 发表于 2009-2-12 22:21:43

应该是吧，从1.XX版本就开始用arm了！

msn1900 · 发表于 2009-2-16 03:21:02

感觉这个问题快要解决了。

saning · 发表于 2009-2-17 21:26:07

这个程序看来只有版主才能搞定了。。楼上可以省心了，呵呵

msn1900 · 发表于 2009-2-18 15:56:51

太麻烦了，我昨天搞了很久还是没什么结果

msn1900 · 发表于 2009-2-28 00:10:41

最新进展：
首先我是很菜的那种，之前在论坛有很多错误的言论，现在对穿山甲系列稍微有一点点理解了。
这个壳是标准版的然后有3个保护。
按照标准版的方法脱壳还是比较容易的。
CTRL+G 进入API内部，找一个不起眼的地下硬件执行断点，修改MagicJump之后顺利到达OEP，修复IAT 和远地址跳都成功了ARMINLINE0.96 ，但是脱壳之后修复CC就出问题了，没有通过那个程序的字校验。
在修复CC的时候，flywoool弹出校验错误对话框，之后armline报告修复失败。
挪动IAT和修复远地址跳我都是直接选择armline自动填好的参数，没有做任何修改。修复CC失败。
我在练习帖子的第六个练习：那个用的是穿山甲4.4加壳的，我依然没脱壳掉。问题出在修复CC上了，到达OEP后，在代码中找不到CC 有CC的地方都是ret之后，那个应该是编译器加的吧、
希望会CC的人解释下我为什么修复失败，那个练习的exe是扫雷的程序，修复IAT 和远地址跳都没问题，我没修改参数，修复CC失败。清楚的记得是第六个练习！

		自动登录	找回密码
密码			加入我们