Armadillo脚本怎么使用？

duchuan · 发表于 2009-6-22 12:09:34

Armadillo脚本怎么使用啊！我现在正在脱Armadillo 1.xx - 2.xx -> Silicon Realms Toolworks

lacoucou · 发表于 2009-6-22 12:24:45

OD载入－插件－OD MACHINE-运行脚本，选择对应脚本

duchuan · 发表于 2009-6-22 17:25:26

提示报错呢?

Leeairw · 发表于 2009-6-23 02:23:43

报错你看下你的壳是不是对应脚本的版本。

duchuan · 发表于 2009-6-23 05:33:01

Armadillo 1.xx - 2.xx -> Silicon Realms Toolworks
这个版本的壳用什么角本，我找不到，哪位朋友有，给我一个
duchua@tom.com
谢谢了

xuyang886 · 发表于 2009-6-23 19:28:12

很简单的``

duchuan · 发表于 2009-6-23 21:21:57

能不能跟我说说，谢谢了。内存中断上出问题了,返回不到程序入口处,前边都差不多

duchuan · 发表于 2009-6-27 16:39:24

用工具查这个壳用了一些保护，

duchuan · 发表于 2009-6-27 16:44:39

Armadillo 1.xx - 2.xx -> Silicon Realms Toolworks 脱壳分析
这篇文章有一个地方我没有看懂，试了好几次也不一样

二、避开IAT加密

下断：He GetModuleHandleA，F9运行    注意堆栈变化：

二、避开IAT加密

下断：He GetModuleHandleA，F9运行    注意堆栈变化：

0012EC6C 5D175394       /CALL 到 GetModuleHandleA 来自 5D17538E
0012EC70 5D1753E0       \pModule = "kernel32.dll"

0012ED2C 77F45BB0       /CALL 到 GetModuleHandleA 来自 SHLWAPI.77F45BAA
0012ED30 77F44FF4       \pModule = "KERNEL32.DLL"

0012F540 004B50E3       /CALL 到 GetModuleHandleA 来自 czssgold.004B50DD
0012F544 00000000       \pModule = NULL

0012BB20 00BFF65E       /CALL 到 GetModuleHandleA 来自 00BFF658
0012BB24 00C10B58       \pModule = "kernel32.dll"
0012BB28 00C11BB4       ASCII "VirtualAlloc"

0012BB20 00BFF67B       /CALL 到 GetModuleHandleA 来自 00BFF675
0012BB24 00C10B58       \pModule = "kernel32.dll"
0012BB28 00C11BA8       ASCII "VirtualFree"

0012BB1C 00BFF7E9       /CALL 到 OpenMutexA 来自 00BFF7E3
0012BB20 001F0001       |Access = 1F0001
0012BB24 00000000       |Inheritable = FALSE
0012BB28 0012EB38       \MutexName = "DF4A9B95:SIMULATEEXPIRED"

0012B898 00BE97CD       /CALL 到 GetModuleHandleA 来自 00BE97C7
0012B89C 0012B9D4       \pModule = "kernel32.dll"    返回的好时期 alt＋f9

为什么我返回不成功到达不了程序领空

duchuan · 发表于 2009-6-27 16:45:16

我用的是其它软件，分析步骤跟这篇文章一样，就是差上边我说的那些

		自动登录	找回密码
密码			加入我们

Armadillo脚本怎么使用？

相关帖子