手脱 Armadillo 3.78 - 4.xx -> Silicon Realms Toolworks

最新推荐文章于 2021-05-29 23:55:57 发布
最新推荐文章于 2021-05-29 23:55:57 发布
阅读量2.5k 收藏
点赞数
分类专栏: 文章标签: c 任务
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xum2008/article/details/4801692
版权

 

手脱 Armadillo 3.78 - 4.xx -> Silicon Realms Toolworks

这是一个穿山甲的壳。。。当运行它后,在任务窗口,只发现有一个进程,

那么我们就用常规的方法来处理它。。。

首先,用OD载入, 下 GetModuleHandleA+5 这个断点,然后 shift+F9 运行。

观察堆栈窗口

001292A4 /0012EBB0

001292A8 |00BC6AA1 返回到 00BC6AA1 来自 kernel32.GetModuleHandleA

001292AC |00BDBD6C ASCII "kernel32.dll"

001292B0 |00BDDDAC ASCII "VirtualAlloc"

这个就是一个标志,说明快到了。。在运行。。

00129008 /001292A8

0012900C |00BB5A14 返回到 00BB5A14 来自 kernel32.GetModuleHandleA

00129010 |0012915C ASCII "kernel32.dll"

00129014 |0012EA58

这就到了。。。

删除硬件断点,返回到程序代码。。。

会发现有两个跳转,有个是大跨度的,,那就是 magic jump;;; 将它改为 jmp

00BB5A25 /75 16 JNZ SHORT 00BB5A3D

00BB5A27 |8D85 B4FEFFFF LEA EAX,DWORD PTR SS:[EBP-14C]

00BB5A2D |50 PUSH EAX

00BB5A2E |FF15 B862BD00 CALL DWORD PTR DS:[BD62B8] ; kernel32.LoadLibraryA

00BB5A34 |8B0D 6C50BE00 MOV ECX,DWORD PTR DS:[BE506C]

00BB5A3A |89040E MOV DWORD PTR DS:[ESI+ECX],EAX

00BB5A3D /A1 6C50BE00 MOV EAX,DWORD PTR DS:[BE506C]

00BB5A42 391C06 CMP DWORD PTR DS:[ESI+EAX],EBX

00BB5A45 0F84 2F010000 JE 00BB5B7A // 他就是了

00BB5A4B 33C9 XOR ECX,ECX

00BB5A4D 8B07 MOV EAX,DWORD PTR DS:[EDI]

00BB5A4F 3918 CMP DWORD PTR DS:[EAX],EBX

然后呢??? 来到它跳向的地方观察。。。

00BB5B4E 8B85 ACFEFFFF MOV EAX,DWORD PTR SS:[EBP-154]

00BB5B54 8B00 MOV EAX,DWORD PTR DS:[EAX]

00BB5B56 85C0 TEST EAX,EAX

00BB5B58 ^ 0F85 34FFFFFF JNZ 00BB5A92

00BB5B5E 8BBD 78FDFFFF MOV EDI,DWORD PTR SS:[EBP-288]

00BB5B64 A1 6C50BE00 MOV EAX,DWORD PTR DS:[BE506C]

00BB5B69 8D1C06 LEA EBX,DWORD PTR DS:[ESI+EAX]

00BB5B6C B9 580ABE00 MOV ECX,0BE0A58

00BB5B71 E8 A6330000 CALL 00BB8F1C

00BB5B76 3103 XOR DWORD PTR DS:[EBX],EAX

00BB5B78 33DB XOR EBX,EBX

00BB5B7A 83C7 0C ADD EDI,0C

00BB5B7D 89BD 78FDFFFF MOV DWORD PTR SS:[EBP-288],EDI

00BB5B83 83C6 04 ADD ESI,4

00BB5B86 395F FC CMP DWORD PTR DS:[EDI-4],EBX

00BB5B89 ^ 0F85 49FEFFFF JNZ 00BB59D8

00BB5B8F EB 03 JMP SHORT 00BB5B94 //在这下断..

00BB5B91 D6 SALC

00BB5B92 D6 SALC

断下后,将原来改动的跳转还原,应为程序会检测到代码是否后被修改,

然后 在下一个断点。。bp CreateThread

断下后,F8 一路向下,跟着代码走就行,看到有 call ecx 或则 call edx 的就

进入。。

便会看到程序的OEP 了。。。。

专注成就专业_
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
脱壳机Armadillo 3.78 - 4.xx -> Silicon Realms Toolwork
08-20
Armadillo 3.78 - 4.xx 脱壳 Armadillo 3.78 - 4.xx -> Silicon Realms Toolworks Armadillo 3.78 - 4.xx -> Silicon Realms Toolworks
脱壳-Armadillo1.x
谢绝留言与私信
02-03 1268
前言今天练习脱Armadillo. 记录下流程点.记录查壳PEID => Armadillo 1.xx - 2.xx -> Silicon Realms Toolworks [Overlay] DetectItEasy => Armadillo(6.X-9.X)[-] RDG => Armadillo 脱壳环境目标程序在原版WinXpSp3虚拟机中启动不了, 可能有虚拟机检测吧. 在真机环境(
Armadillo tools 比较全的脱壳工具
10-04
包含以下脱壳工具: ARMA.INTRUDER.0.4 ARMACRC.V1 ARMADETACH.V1 ARMADETACHME ARMADILLO FIND PROTECTED V1 ARMADILLO KILLER 2 ARMADILLO REDUCER 1.7 ARMADILLO.DLL&OCX ARMADILLO.SECTIONS.STRIPPER.1.22 ARMADILLO_KEY_GENERATOR_1 ARMADILLOCLEANER ARMADILLOTOOLS_V1_2 ARMADUMPER.V1 ARMAEV ARMAUNPACK ARMINLINE V0 DEATTACHER HWID_CHANGER_V.0 LOADER-10 MM_DILLODIE_V1 NANOMITES.KILLER.BY UIF-FINAL-PLUS UIF-V UNARM ArmaGeddon_v1_1_.0_by_Condzero ArmaGeddonV1.2g ArmInline v0.96f (Eng) ArmKiller_v1_2_1_Tool_by__TLG_XQuader 另外,压缩包里添加了 (1)去除试用期通用工具Trial-Reset.exe。 (2) Armadillo Find Protected V1.9汉化版 声明:Trial-Reset不是病毒!只是被杀毒软件认为是病毒。
2010.10.02_33vc_Armadillo3.78带Key双进程手动脱壳
记录点滴
05-07 3063
http://www.33vc.com/index.php/archives/2580 Armadillo3.78不带key的双进程脱壳,以前学习过,完全就是按一个套路。 带key的没遇到过。这里转载一下,其实过程挺简单。照着做就行。 Armadillo高版本的我没试过。下面是转载: 拿到一HTTPS的暴力破解软件,带一个和机器有关的合法注册码,只能在别的某一台机器码为95
Armadillo v4.44b by Silicon Realms
Linhanshi Blog
06-02 1042
Description:Armadillo is a powerful software protection system. It wraps around your program like an armored shell, defending your work from pirates and program crackers with state-of-the-art encryp
脱壳Armadillo 1.xx - 2.xx -> Silicon Realms Toolworks
11-15
Armadillo 1.xx - 2.xx -> Silicon Realms Toolworks脱壳
armadillo-10.1.0.tar.xz
10-15
Armadillo 用于线性代数和科学计算的快速C ++库 用于线性代数(矩阵数学)和科学计算的快速C++库 特征 易于使用-具有许多类似MATLAB的功能 对于直接在C ++中进行原型制作很有用 有助于将研究代码转换为生产环境 ...
armadillo-9.850.1.tar.xz
04-15
亲测可用,可用打开candance绘制的brd等文件,而且非常小,安装比较方便,轻量级软件,比较好用,可用尝试。
armadillo-6.400.3.tar.gz_armadillo
07-15
**Armadillo线性代数库** Armadillo是一个高效的C++库,专门设计用于处理线性代数问题。它的核心功能包括矩阵和向量操作、线性方程组求解、特征值与特征向量计算、奇异值分解以及各种矩阵函数。这个库在提供高级...
[代码阅读工具].Scientific.Toolworks.Understand.v2.6.558.Incl.Keygen.X64
03-13
[代码阅读工具].Scientific.Toolworks.Understand.v2.6.558.Incl.Keygen.X64-Lz0
android穿山甲列表刷新,穿山甲全系列脱壳机(高手菜鸟都必备精品)
热门推荐
weixin_32042331的博客
05-29 1万+
All Armadillo toolsArmadillo tools===============ARMA.INTRUDER.0.4ARMACRC.V1ARMADETACH.V1ARMADETACHMEARMADILLO FIND PROTECTED V1ARMADILLO KILLER 2ARMADILLO REDUCER 1.7ARMADILLO.DLL&OCXARMADILLO.SE...
Armadillo Unpacking Scripts, v3.xx v4.xx v5.xx by Fungus
Linhanshi Blog
03-07 722
http://bbs.pediy.com/showthread.php?t=60783 
第十四课 穿山甲壳的单进程标准脱法一
weixin_30814319的博客
08-28 361
第十四课穿山甲壳的单进程标准脱法一 今天开始进入我们加密壳脱壳环节。 一,关于Armadillo壳: Armadillo也称穿山甲,是一款应用面较广的壳。可以运用各种手段来保护你的软件,同时也可以为软件加上种种限制,包括时间、次数,启动画面等等!很多商用软件采用其加壳。Armadillo对外发行时有Public,Custom两个版本。...
Armadillo配置以及出现的问题
hy3316597的博客
04-13 1543
今天在github下载了一个Armadillo,运行example的时候出现错误 "无法找到“xxx.exe”的调试信息,或者调试信息不匹配。未使用调试信息生成二进制文" 原来问题是没有生成调试信息,需要在 属性页-->链接器-->生成调试信息->是     就可以了。 之后运行程序,可以看到属性表配置和opencv配置一样,都需要先配置好 包含目录IncludePath>/Inclu
Armadillo v6.04 Custom Build 0056, 0335, 0447 Cracked by stephenteh
Linhanshi Blog
07-26 843
 http://bbs.pediy.com/showthread.php?t=69330
Armadillo使用介绍(一):Armadillo介绍
weixin_40948750的博客
07-10 6136
Armadillo采用的许可是 Apache License 2.0,不具有GPL许可的感染性。 对于Apache License 与GPL之间的关系,官方文档中解释“The Apache license and the GPL are completely separate and distinct licenses. Unlike the GPL, the Apache license does not "infect" your source code. See also the comparison
armadillo 7.800.1
最新发布
09-30
4. 跨平台支持:Armadillo可以在多个操作系统和编译器上使用,包括Windows、Linux和MacOS等。它与其他常用的科学计算库(如NumPy和SciPy)可以方便地进行集成。 总之,Armadiilo 7.800.1是一个功能强大、性能高效且...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值