- UID
- 901
注册时间2005-4-13
阅读权限40
最后登录1970-1-1
独步武林
 
TA的每日心情 | 衰
3 天前 |
|---|
签到天数: 434 天 [LV.9]以坛为家II
|
发表于 2006-8-10 02:09:51
|
显示全部楼层
原来飘云脱的这个壳也是标准壳!!用我编写的动画中的方法脱一下,效果与飘云的 一样。哈。
Armadillo 1.xx - 2.xx -> Silicon Realms Toolworks
OD 载入:
004C9B19 > 55 push ebp
004C9B1A 8BEC mov ebp,esp
004C9B1C 6A FF push -1
004C9B1E 68 385A4E00 push czssgold.004E5A38
004C9B23 68 00954C00 push czssgold.004C9500
老规矩,BP LoadLibraryA
按F9,注意看堆栈:
直到出现如下情形,
0012B898 00BE97ED /CALL 到 LoadLibraryA 来自 00BE97E7
0012B89C 0012B9D4 \FileName = "MSVBVM60.DLL"
出现上列模样时,删除断点,Alt+F9返回
返回到这里:
00BE97ED 8B0D A04CC100 mov ecx,dword ptr ds:[C14CA0]
00BE97F3 89040E mov dword ptr ds:[esi+ecx],eax
00BE97F6 A1 A04CC100 mov eax,dword ptr ds:[C14CA0]
00BE97FB 393C06 cmp dword ptr ds:[esi+eax],edi-----对这一行下硬件执行断点
00BE97FE 0F84 AD000000 je 00BE98B1---------Magic JMP
00BE9804 33C9 xor ecx,ecx
00BE9806 8B03 mov eax,dword ptr ds:[ebx]
00BE9808 3938 cmp dword ptr ds:[eax],edi
00BE980A 74 06 je short 00BE9812
00BE980C 41 inc ecx
00BE980D 83C0 0C add eax,0C
00BE9810 ^ EB F6 jmp short 00BE9808
00BE9812 8BC1 mov eax,ecx
00BE9814 C1E0 02 shl eax,2
00BE9817 50 push eax
cmp dword ptr ds:[esi+eax],edi-----对这一行下硬件执行断点
之后,重新载入,按F9,因为有硬件断点的原因,直接回到断点处,
先删除硬件断点,
然后Alt+M打开内存镜像 ,对00401000下内存访问断点,按F9,直达OEP
看下面:
0043DC0D 6A 60 push 60---------OEP
0043DC0F 68 40A04800 push czssgold.0048A040
0043DC14 E8 BB0C0000 call czssgold.0043E8D4
0043DC19 BF 94000000 mov edi,94
0043DC1E 8BC7 mov eax,edi
0043DC20 E8 DBF0FFFF call czssgold.0043CD00
0043DC25 8965 E8 mov dword ptr ss:[ebp-18],esp
0043DC28 8BF4 mov esi,esp
0043DC2A 893E mov dword ptr ds:[esi],edi
0043DC2C 56 push esi
0043DC2D FF15 04944700 call dword ptr ds:[479404] ; kernel32.GetVersionExA
停在OEP处,
用LordPE先Correct Imagesize
然后DumpFull
再用IM 修复输入表。
哈,达到与 飘云 一样的效果。
QQ:339171218
wofan[OCN][PYG] |
|
楼主: 飘云
IP卡
显身卡
发表于 2006-8-2 19:54:10
发表于 2006-8-4 19:09:24
发表于 2006-9-4 16:32:34
