飘云阁(PYG官方)

 找回密码
 快速注册

QQ登录

只需一步,快速开始

查看: 2300|回复: 25

[脱壳破解] 脱壳Armadillo 6.40

[复制链接]

该用户从未签到

发表于 2009-6-6 22:47:10 | 显示全部楼层 |阅读模式
脱壳Armadillo 6.40
Tools
ArmaDetach
OllyDBG
UIF
ImportRec
CfExplorer.

00460818  77DA6BF0  ADVAPI32.RegCloseKey        iat开
0046081C  77DA761B  ADVAPI32.RegOpenKeyExA
00460820  00CE48E0                          加密

00460F10  76A0576F  ole32.CoRegisterMessageFilter
00460F14  769C3399  ole32.CoFreeUnusedLibraries
00460F18  769C5DB2  ole32.CoGetClassObject
00460F1C  76A8C090  ole32.StgOpenStorageOnILockBytes  iat结束
线程,项目 0
标识=08lX (主要)
入口=08lX
数据块=08lX
最后错误=ERROR_INVALID_HANDLE (00000006)
状态=挂起
优先级= 32 - 1
用户时间=  11.9062 s
系统时间=   0.0000 s

找 magic  jmp     iat
汗啊  ok
Names in UnPackMe, item 16
Address=004E302C
Section=.data1
Type=Import  (Known)
Name=KERNEL32.CreateThread  查找oep
0012E2EC   7C97072B  RETURN to ntdll.7C97072B from ntdll.ZwWaitForDebugEvent

00D2317A    F3:A5           REP MOVS DWORD PTR ES:[EDI],DWORD PTR DS>
00D2317C    FF2495 9432D200 JMP DWORD PTR DS:[EDX*4+D23294]
00D23183    90              NOP
00D23184    8BC7            MOV EAX,EDI
00D23186    BA 03000000     MOV EDX,3
00D2318B    83E9 04         SUB ECX,4
00D2318E    72 0C           JB SHORT 00D2319C

00D133F7    8B95 40D8FFFF   MOV EDX,DWORD PTR SS:[EBP-27C0]          ; UnPackMe.00460818
00D133FD    83C2 04         ADD EDX,4
00D13400    8995 40D8FFFF   MOV DWORD PTR SS:[EBP-27C0],EDX
00D13406  ^ E9 2DFCFFFF     JMP 00D13038
00D1340B    FF15 38B3D400   CALL DWORD PTR DS:[D4B338]               ; kernel32.GetTickCount
00D13411    2B85 80D4FFFF   SUB EAX,DWORD PTR SS:[EBP-2B80]
00D13417    8B8D 90D4FFFF   MOV ECX,DWORD PTR SS:[EBP-2B70]
00D1341D    6BC9 32         IMUL ECX,ECX,32
00D13420    81C1 D0070000   ADD ECX,7D0
00D13426    3BC1            CMP EAX,ECX

00D133B1    50              PUSH EAX
00D133B2    8D8D 3CC2FFFF   LEA ECX,DWORD PTR SS:[EBP-3DC4]
00D133B8    51              PUSH ECX
00D133B9    8B95 68D3FFFF   MOV EDX,DWORD PTR SS:[EBP-2C98]
00D133BF    52              PUSH EDX

00D1303D    85D2            TEST EDX,EDX
00D1303F    0F84 C6030000   JE 00D1340B
00D13045    8B85 84D9FFFF   MOV EAX,DWORD PTR SS:[EBP-267C]
00D1304B    66:8B08         MOV CX,WORD PTR DS:[EAX]
00D1304E    66:898D 48D2FFF>MOV WORD PTR SS:[EBP-2DB8],CX
00D13055    8B95 84D9FFFF   MOV EDX,DWORD PTR SS:[EBP-267C]
00D1305B    83C2 02         ADD EDX,2
00D1305E    8995 84D9FFFF   MOV DWORD PTR SS:[EBP-267C],EDX

00D131E5    8B85 2CC2FFFF   MOV EAX,DWORD PTR SS:[EBP-3DD4]
00D131EB    83C0 0C         ADD EAX,0C
00D131EE    8985 2CC2FFFF   MOV DWORD PTR SS:[EBP-3DD4],EAX
00D131F4    8B8D 2CC2FFFF   MOV ECX,DWORD PTR SS:[EBP-3DD4]
00D131FA    8379 08 00      CMP DWORD PTR DS:[ECX+8],0
00D131FE    74 4A           JE SHORT 00D1324A
00D13200    68 00010000     PUSH 100
00D13205    8D95 2CC1FFFF   LEA EDX,DWORD PTR SS:[EBP-3ED4]
00D1320B    52              PUSH EDX
00D1320C    8B85 2CC2FFFF   MOV EAX,DWORD PTR SS:[EBP-3DD4]
00D13212    8B08            MOV ECX,DWORD PTR DS:[EAX]
00D13214    51              PUSH ECX
00D13215    E8 3606F8FF     CALL 00C93850
00D1321A    83C4 0C         ADD ESP,0C
00D1321D    8D95 2CC1FFFF   LEA EDX,DWORD PTR SS:[EBP-3ED4]
00D13223    52              PUSH EDX
00D13224    8D85 3CC2FFFF   LEA EAX,DWORD PTR SS:[EBP-3DC4]
00D1322A    50              PUSH EAX
00D1322B    E8 B85B0100     CALL 00D28DE8
00D13230    83C4 08         ADD ESP,8
00D13233    85C0            TEST EAX,EAX
00D13235    75 11           JNZ SHORT 00D13248            magic  jmp
00D13237    8B8D 2CC2FFFF   MOV ECX,DWORD PTR SS:[EBP-3DD4]
00D1323D    8B51 08         MOV EDX,DWORD PTR DS:[ECX+8]
00D13240    8995 40CAFFFF   MOV DWORD PTR SS:[EBP-35C0],EDX
00D13246    EB 02           JMP SHORT 00D1324A
00D13248  ^ EB 9B           JMP SHORT 00D131E5
00D1324A    8B85 90D4FFFF   MOV EAX,DWORD PTR SS:[EBP-2B70]
00D13250    83C0 01         ADD EAX,1
00D13253    8985 90D4FFFF   MOV DWORD PTR SS:[EBP-2B70],EAX
00D13259    EB 3E           JMP SHORT 00D13299

F0 6B DA 77 1B 76 DA 77 F4 EA DA 77 E7 EB DA 77 83 78 DA 77 30 E5 CD 00 CF 65 17 5D D8 03 18 5D
80 E6 CD 00 B1 6A EF 77 36 95 EF 77 66 6A EF 77 C3 AD EF 77 BF D9 EF 77 74 8B EF 77 90 B5 EF 77
01 7D EF 77 89 7C EF 77 37 5A F2 77 15 CE F1 77 DC BB EF 77 22 D4 EF 77 D5 8D EF 77 9E EA EF 77
21 B2 EF 77 EF D4 EF 77 C8 ED EF 77 1F 40 F2 77 41 B4 EF 77 FE AC EF 77 D1 61 EF 77 93 85 EF 77
9C D2 EF 77 1A 70 EF 77 EB EA F0 77 ED 82 EF 77 77 40 F0 77 49 38 F0 77 A5 93 EF 77 29 E9 EF 77
7A D2 EF 77 89 6F EF 77 FF 3E F2 77 E3 E2 EF 77 1F DC EF 77 F0 5F EF 77 80 5B EF 77 3D AC EF 77
03 3B F0 77 FD 8C EF 77 34 CD F1 77 AC 3B F0 77 3F C0 EF 77 5C 7B EF 77 F8 D8 EF 77 EB 5E EF 77
11 8A EF 77 D7 8A EF 77 FF 61 EF 77 39 5E EF 77 87 5D EF 77 EA 99 EF 77 86 FE EF 77 DF 97 F1 77
56 A0 F2 77 DA 46 F2 77 97 C4 F0 77 B5 61 EF 77 7A DF EF 77 CB 81 EF 77 0A 6C EF 77 6F 6E EF 77
2A 83 EF 77 E6 E6 EF 77 BB AA EF 77 BC 73 F0 77 81 95 EF 77 3F B0 EF 77 7A 5A EF 77 A9 50 F2 77
16 F1 F0 77 B1 DD F0 77 41 E0 F0 77 0E 8C EF 77 49 E6 EF 77 F9 93 EF 77 90 E6 CD 00 6B 17 80 7C
D4 A7 80 7C 51 0E 81 7C EE 1E 80 7C 1D 2F 81 7C 40 7A 95 7C 09 2A 81 7C DA CD 81 7C 16 1E 80 7C
15 99 80 7C F8 0E 81 7C B6 2B 81 7C E4 9A 80 7C 51 9A 80 7C E3 14 82 7C BF 50 83 7C E8 8D 83 7C
A8 CC 80 7C 2A 2E 86 7C 77 DF 81 7C E7 4A 81 7C 5B CF 81 7C 08 2F 81 7C 7D 46 84 7C 0C 8A 83 7C
90 A4 80 7C CF BC 80 7C 62 D2 80 7C 62 15 81 7C 77 D0 80 7C 5E A3 80 7C 78 34 83 7C ED 09 93 7C
FD 79 93 7C D4 05 93 7C 3D 04 93 7C A7 27 81 7C 76 2E 81 7C 8B B2 85 7C A9 60 83 7C 45 1C 83 7C
77 0A 81 7C 3C 15 81 7C FE 4F 83 7C 54 5D 83 7C 23 2C 81 7C 72 67 83 7C 40 97 80 7C 27 09 83 7C
C5 9B 80 7C 05 10 92 7C B9 23 81 7C ED 10 92 7C B9 4C 83 7C 8A 18 93 7C 9F 2D 81 7C F1 9E 80 7C
FC 38 81 7C A5 1B 82 7C 44 20 83 7C BC 22 83 7C 61 23 83 7C 47 9B 80 7C 41 26 81 7C 8E 0B 81 7C
87 0D 81 7C 0E 18 80 7C 24 1A 80 7C F5 DD 80 7C FE DD 80 7C 01 BE 80 7C 0F AC 80 7C A0 F7 82 7C
BB 0B 83 7C A1 BA 80 7C EB 98 80 7C 15 A4 80 7C 66 E8 80 7C EC E7 80 7C 01 9E 80 7C 79 9E 80 7C
74 0D 83 7C F8 9B 80 7C D4 A0 80 7C B6 BD 80 7C 41 4D 83 7C 28 97 80 7C 19 FF 80 7C 82 FE 80 7C
CF B4 80 7C DA 11 81 7C C6 97 80 7C 19 B2 85 7C AC 17 82 7C AB 1E 83 7C EE 86 82 7C 79 3F 87 7C
03 DC 81 7C 21 13 87 7C 8B B5 81 7C 49 0A 87 7C 20 99 80 7C 9C 92 80 7C 71 0A 87 7C 42 24 80 7C
2B BC 81 7C 09 30 87 7C 54 30 87 7C 1A 3C 87 7C EE 61 83 7C 69 BC 80 7C 9D 34 87 7C E3 34 87 7C
2C 3B 87 7C 77 1D 80 7C A0 AD 80 7C DE AB 80 7C 39 2F 81 7C 25 CF 81 7C 9D 10 87 7C B1 4E 83 7C
D9 37 81 7C 31 03 93 7C 40 03 93 7C D7 ED 80 7C 2D FD 80 7C 2F FC 80 7C DE 2A 81 7C 11 01 81 7C
89 BE 80 7C B5 9F 80 7C 97 CC 80 7C B1 2E 83 7C 8D 99 80 7C 1D 2E 83 7C 2F 99 80 7C 7A 97 80 7C
66 97 80 7C A1 B6 80 7C 97 CC 80 7C 80 E6 CD 00 09 00 00 80 07 00 00 80 A4 01 00 80 04 00 00 80
11 00 00 80 12 00 00 80 14 00 00 80 13 00 00 80 17 00 00 80 18 00 00 80 0C 00 00 80 06 00 00 80
96 00 00 80 02 00 00 80 0A 00 00 80 A2 01 00 80 00 00 00 00 F9 70 64 7D E8 70 64 7D E0 0E 61 7D
C0 E5 CD 00 EA D6 D1 77 AB B8 D5 77 95 B7 D5 77 27 BE D1 77 28 8E D1 77 9C E0 D2 77 27 F1 D2 77
71 A4 D5 77 C6 B5 D1 77 A8 DF D2 77 86 5F D5 77 AB 8E D1 77 D5 EE D1 77 41 BD D1 77 02 E0 D2 77
7D FB D2 77 76 BD D1 77 2B 8D D1 77 D1 E1 D2 77 50 DF D2 77 C8 EF D1 77 1C BC D5 77 A5 58 D5 77
CA C6 D3 77 B5 A3 D5 77 1D B6 D1 77 09 B6 D1 77 21 90 D1 77 99 00 D5 77 F0 54 D2 77 8F 8F D2 77
AB EF D4 77 52 F8 D4 77 A4 D8 D1 77 EC DB D1 77 2B F5 D2 77 3A C9 D3 77 5A 8A D2 77 C9 59 D2 77
58 D6 D1 77 F0 9A D3 77 AF C2 D3 77 62 07 D2 77 2F BB D1 77 F0 BE D1 77 60 DA D1 77 72 02 D2 77
A9 C4 D1 77 29 D9 D1 77 07 D9 D1 77 DB D8 D1 77 F9 FE D2 77 56 90 D1 77 B3 F2 D2 77 A2 BD D1 77
0E 97 D1 77 DA 94 D1 77 25 EE D3 77 C7 EB D3 77 84 FA D2 77 86 13 D2 77 68 EF D4 77 EE 50 D6 77
CE 3D D2 77 2B 21 D3 77 05 C5 D1 77 EE D4 D1 77 EA DA D1 77 33 FF D1 77 D1 11 D3 77 5B F8 D1 77
C0 FF D2 77 1E F2 D1 77 3A 15 D3 77 4B BE D1 77 4D 3D D2 77 02 00 D3 77 42 F6 D1 77 54 00 D3 77
08 C4 D1 77 94 BF D1 77 7D BC D1 77 1B C0 D1 77 28 8E D1 77 61 F6 D2 77 0D D6 D1 77 5D 94 D1 77
3E 8D D2 77 8C 0C D2 77 37 02 D3 77 05 E5 D3 77 25 02 D3 77 29 8C D2 77 88 C1 D1 77 7D 1A D3 77
87 F7 D1 77 3D EF D1 77 3D EF D1 77 34 D0 D3 77 47 F7 D2 77 5B F9 D2 77 C4 F6 D2 77 20 F4 D2 77
10 F7 D2 77 42 8C D1 77 2E 8C D1 77 7A 14 D3 77 EE EC D3 77 23 F8 D4 77 C7 F2 D2 77 CE 1A D3 77
96 F1 D4 77 3C F4 D4 77 1C F2 D2 77 6C C9 D1 77 F6 8B D1 77 B8 96 D1 77 0C 94 D1 77 51 C6 D3 77
87 DE D2 77 68 03 D3 77 B3 F3 D1 77 AD A8 D1 77 8A 05 D5 77 CE 08 D2 77 58 BF D1 77 33 B9 D1 77
05 F7 D4 77 2F B7 D1 77 54 F7 D4 77 6C BF D1 77 F5 B5 D1 77 13 15 D3 77 E2 C2 D1 77 39 6A D5 77
F7 BC D5 77 36 0A D2 77 3B 1F D3 77 F9 D7 D1 77 F7 D6 D1 77 65 C4 D1 77 D4 B6 D1 77 C8 BD D1 77
AE B6 D1 77 85 3E D2 77 69 EF D1 77 C7 86 D1 77 9D 86 D1 77 26 BF D1 77 3F B5 D1 77 69 D8 D1 77
85 CB D1 77 71 BE D1 77 6E C6 D1 77 9C 8F D1 77 FD BE D1 77 31 B6 D1 77 07 E9 D3 77 A0 EE D4 77
83 F3 D2 77 6F 2D D2 77 78 8E D1 77 2B EF D4 77 70 E6 CD 00 F7 A8 B2 76 80 E6 CD 00 C8 74 F7 72
73 66 F8 72 87 72 F7 72 43 80 F7 72 67 37 F8 72 FB 41 F8 72 67 83 F7 72 90 53 F7 72 70 E6 CD 00
CE 00 33 76 7C 86 33 76 B0 86 33 76 33 25 32 76 1E 31 32 76 D8 7C 33 76 89 C2 33 76 CD 46 34 76
CE EE 32 76 60 E6 CD 00 48 D0 9A 76 9C CB 9B 76 CC 42 9D 76 2C D0 9A 76 DA F6 9A 76 73 33 9E 76
10 64 9B 76 03 0E A0 76 33 0F A0 76 40 A6 A2 76 F1 A7 A2 76 92 9C 9D 76 6F 57 A0 76 99 33 9C 76
B2 5D 9C 76 90 C0 A8 76

00D133F7    8B95 40D8FFFF   MOV EDX,DWORD PTR SS:[EBP-27C0]          ; UnPackMe.00460F1C
00D133FD    83C2 04         ADD EDX,4
00D13400    8995 40D8FFFF   MOV DWORD PTR SS:[EBP-27C0],EDX
00D13406  ^ E9 2DFCFFFF     JMP 00D13038
00D1340B    FF15 38B3D400   CALL DWORD PTR DS:[D4B338]               ; kernel32.GetTickCount
00D13411    2B85 80D4FFFF   SUB EAX,DWORD PTR SS:[EBP-2B80]
00D13417    8B8D 90D4FFFF   MOV ECX,DWORD PTR SS:[EBP-2B70]
00D1341D    6BC9 32         IMUL ECX,ECX,32


iat 解码

优化下

这样的壳 有强度
大家要有信心才行
调试了N次了
游客,如果您要查看本帖隐藏内容请回复

DeFixed_Edition http://www.namipan.com/d/DeFixed ... aef577caaf3ca3c2f00
  • TA的每日心情
    开心
    2018-5-11 10:02
  • 签到天数: 29 天

    [LV.4]偶尔看看III

    发表于 2009-6-7 16:33:30 | 显示全部楼层
    本帖隐藏的内容需要回复才可以浏览
  • TA的每日心情

    2017-7-19 15:45
  • 签到天数: 2 天

    [LV.1]初来乍到

    发表于 2009-6-7 17:03:21 | 显示全部楼层
    学习下/:good
  • TA的每日心情
    慵懒
    2015-10-9 11:25
  • 签到天数: 1 天

    [LV.1]初来乍到

    发表于 2009-6-7 17:46:44 | 显示全部楼层
    谢谢楼主,学习一下
  • TA的每日心情
    开心
    2017-10-25 13:07
  • 签到天数: 15 天

    [LV.4]偶尔看看III

    发表于 2009-6-7 18:05:41 | 显示全部楼层
    学习下/:014
  • TA的每日心情

    2016-6-2 20:34
  • 签到天数: 10 天

    [LV.3]偶尔看看II

    发表于 2009-6-7 19:07:40 | 显示全部楼层
    今天有时间再看一下
  • TA的每日心情
    开心
    2015-8-23 23:49
  • 签到天数: 27 天

    [LV.4]偶尔看看III

    发表于 2009-6-19 15:46:00 | 显示全部楼层
    先顶后下。
    感谢LZ!!!

    该用户从未签到

    发表于 2009-6-20 23:38:14 | 显示全部楼层
    这壳真忽悠~ 那个MAGIC我找不到。。。。。。。
  • TA的每日心情

    2019-11-16 10:17
  • 签到天数: 4 天

    [LV.2]偶尔看看I

    发表于 2009-7-8 16:22:11 | 显示全部楼层
    顶楼主,为啥要回复才行呢

    该用户从未签到

    发表于 2009-7-9 07:13:36 | 显示全部楼层
    不错,学习一下
    您需要登录后才可以回帖 登录 | 快速注册

    本版积分规则

    关闭

    站长推荐上一条 /1 下一条

    小黑屋|手机版|Archiver|飘云阁安全论坛 ( 粤ICP备15107817号-2 )|扫码赞助

    Powered by Discuz! X3.3© 2001-2017 Comsenz Inc.

      
    快速回复 返回顶部 返回列表