Armadillo标准加壳的程序的脱壳和引入表修复方案

核心提示： 00D0B5E0/75 29JNZSHORT 00D0B60B00D0B5E2|E8 A05AFFFFCALL00D0108700D0B5E7|FF76 04PUSHDWORD PTR DS:[ESI+4]00D0B5EA|8BF8MOVEDI, EAX00D0B5EC|A1 CCEED1

00D0B5E0　/75 29　　　　　JNZ　　SHORT 00D0B60B　
00D0B5E2　|E8 A05AFFFF　　CALL　　00D01087　
00D0B5E7　|FF76 04　　　　PUSH　　DWORD PTR DS:[ESI+4]　
00D0B5EA　|8BF8　　　　　　MOV　　EDI, EAX　
00D0B5EC　|A1 CCEED100　　MOV　　EAX, DWORD PTR DS:[D1EECC]　
00D0B5F1　|FF76 08　　　　PUSH　　DWORD PTR DS:[ESI+8]　
00D0B5F4　|8B48 70　　　　MOV　　ECX, DWORD PTR DS:[EAX+70]　
00D0B5F7　|3348 50　　　　XOR　　ECX, DWORD PTR DS:[EAX+50]　
00D0B5FA　|6A 00　　　　　PUSH　　0　
00D0B5FC　|3348 34　　　　XOR　　ECX, DWORD PTR DS:[EAX+34]　
00D0B5FF　|03F9　　　　　　ADD　　EDI, ECX　
00D0B601　|E8 815AFFFF　　CALL　　00D01087　
00D0B606　|50　　　　　　　PUSH　　EAX　
00D0B607　|FFD7　　　　　　CALL　　EDI　　　　　　　　　　　　　　　; SoundEdi.004059B0

看到最后这个CALL EDI吗,004059B0就是程序的OEP了,我们F7跟进:　

00405996　- FF25 3C114000　JMP　　DWORD PTR DS:[40113C]　
0040599C　- FF25 8C104000　JMP　　DWORD PTR DS:[40108C]　
004059A2　- FF25 B0104000　JMP　　DWORD PTR DS:[4010B0]　
004059A8　- FF25 E8114000　JMP　　DWORD PTR DS:[4011E8]　
004059AE　　0000　　　　　　ADD　　BYTE PTR DS:[EAX], AL　
004059B0　　68 787D4000　　PUSH　　SoundEdi.00407D78　　,这是OEP了,　
004059B5　　E8 EEFFFFFF　　CALL　　SoundEdi.004059A8

呵,典型的VB代码.拿出LOADPE,快快DUMP吧.我们把DUMP的程序保存为DUMPED.EXE