WEB开发网
开发学院网络安全黑客技术 Armadillo标准加壳的程序的脱壳和引入表修复方案 阅读

Armadillo标准加壳的程序的脱壳和引入表修复方案

 2007-01-13 20:14:38 来源:WEB开发网   
核心提示:用过ARMADILLO的人都知道,用它加壳有两种方式,一是使用COPYMEMII,一是标准加壳.用COPYMEMII的一般可用DILLODUMP脱(当然也有时脱不了),而用标准加壳用DILLODUMP是脱不了的,这是DILLODUMP中的说明,我们来看看:NOTE: This only really works on

用过ARMADILLO的人都知道,用它加壳有两种方式,一是使用COPYMEMII,一是标准加壳.用COPYMEMII的一般可用DILLODUMP脱(当然也有时脱不了),而用标准加壳用DILLODUMP是脱不了的,这是DILLODUMP中的说明,我们来看看: 

NOTE: This only really works on programs that are at least protected to some extent. 

For example, it will not work on "Standard Protection" aramadillo files, which isn't 

a big deal, because for those you do not need to have any "advanced" tools to dump. I plan 

on released a "lite" version to support those files soon.. 

本人E文很菜,只能了解大意,是说标准加壳的脱壳比较简单,不需用工具.但是对我等菜来说,还是要用工具的好,不过既然现在还没有,还是手脱吧. 

加壳程序:Armadillo v3.00a 

工具:OLLYDBG,LOADPE,importREC 

SoundEdit是一个声音编辑软件(国外的),采用了ARMADILLO的KEY加密,启动要你输入KEY,否则要等N秒才能让你启动,还有30天试用期,所以,如果脱了壳,上述现象都将没有了.现在开始脱壳历程.!! 

第一步,DUMP出程序: 

用OLLYDBG载入程序.在调试选项中忽略所有异常,这样可以少按SHIFT+F9 

BP VirtualProtect,F9运行,这时会有异常,用SHIFT+F9过程序会断下来,这时你不停按F9,一般在第5次会出现注册框,OK后再次中断,这时你要注意堆棧开始记下F9的次数了.我这第20下时在堆棧出现如下信息: 

0012F214 7342F406 /CALL to VirtualProtect from MSVBVM60.7342F400 

说明程序,已经运行了.(VB是先运行MSVBVM60.DLL的,在其中也用调用VirtualProtect,如果是DELPHI等程序,可一直F9到程序运行为止) 

1 2 3 4 5  下一页

Tags:Armadillo 标准 加壳

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接