爱的中体验之Armadillo3.x双进程之Mr.Captor(图)_安全中国

004378F0    8BEC            mov ebp, esp
004378F2    6A FF           push -1
004378F4    68 98AF4700     push MrCaptor.0047AF98
004378F9    68 546A4300     push MrCaptor.00436A54
004378FE    64:A1 00000000  mov eax, dword ptr fs:[0]
00437904    50              push eax
00437905    64:8925 0000000>mov dword ptr fs:[0], esp
0043790C    83EC 58         sub esp, 58
0043790F    53              push ebx
00437910    56              push esi
00437911    57              push edi
00437912    8965 E8         mov dword ptr ss:[ebp-18], esp
00437915    FF15 00F44600   call dword ptr ds:[46F400]               ; kernel32.GetVersion
0043791B    33D2            xor edx, edx
...............................................................

我们可以修复IAT了，还剩下86个Arm添加的标准垃圾指针,没有垃圾指针心里还有点不舒服也不习惯，我就没有用jwh51的nop垃圾指针的方法了，拿剪刀把86个垃圾指针剪掉，正常运行,我喜欢Arm的垃圾指针，不然我的剪刀就锈了。

查脱壳后的文件，Armadillo 1.xx - 2.xx -> Silicon Realms Toolworks ，昏。

区段减肥，这个要靠经验积累了，平时多观察加壳和没加壳软件的区段对比，保持备份，万一减肥失败可以及时欢原，因为脱壳后放在程序中的残余区段会占大量空间影响程序运行速度，全删除并重建Pe可大大提高程序运行效率。用LordPE删除text1和其下的adata、data1、pdata共4个区段，其余区段保留,然后再用LordPE重建PE，提示最小到50％，1.61M->830K。

运行脱壳修复程序，启动很快，修改日期，原程序提示你修改了时间，脱壳程序不受限制，Arm已经有不少过期清除工具了,看关于对话框感觉不爽，程序判断不出还剩多少天就说是30天，不过肯定你是没有注册的。

w32dasm反汇编程序死机，xp系统直接退出，用CCG的抗Antiwasm才完成反汇编。

关于对话框

“You have X days left for evaluation”可以修改以下地方：

00423BE8    3D E7030000     cmp eax, 3E7
00423BED    74 3D           je short dumped.00423C2C  //改为 JMP dumped.00423C2C
00423BEF    83F8 02         cmp eax, 2
00423BF2    74 38           je short dumped.00423C2C

最后用Winhex改到你高兴为止，还不是很好改，这个作者用Unicode字符写的关于对话框字符。

仔细看了一下，我这个爆破手就把他暴了。

:00423B2B 68CD000000              push 000000CD
:00423B30 57                      push edi
:00423B31 FF158CF24600            call dword ptr [0046F28C]
:00423B37 A1D0C14800              mov eax, dword ptr [0048C1D0]
:00423B3C 8945F0                  mov dword ptr [ebp-10], eax

* Possible Reference to String Resource ID=59246: "Unregistered copy of Mr. Captor"
                                  |
:00423B3F 686EE70000              push 0000E76E
:00423B44 8D4DF0                  lea ecx, dword ptr [ebp-10]
:00423B47 C645FC02                mov [ebp-04], 02
:00423B4B E8A9650200              call 0044A0F9
:00423B50 FF75F0                  push [ebp-10]
:00423B53 8D85C0FEFFFF            lea eax, dword ptr [ebp+FFFFFEC0]
:00423B59 50                      push eax
:00423B5A E8B1210100              call 00435D10
:00423B5F 59                      pop ecx
:00423B60 59                      pop ecx
:00423B61 E8A9DF0300              call 00461B0F
:00423B66 8B45E4                  mov eax, dword ptr [ebp-1C]
:00423B69 8B80D4020000            mov eax, dword ptr [eax+000002D4]
:00423B6F 3DE7030000              cmp eax, 000003E7
:00423B74 7405                    je 00423B7B  //修改为jmp 00423b7b
:00423B76 83F802                  cmp eax, 00000002
:00423B79 751E                    jne 00423B99

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:00423B74(C)
|
* Possible Reference to String Resource ID=59247: "Registered to: "
                                  |
:00423B7B 686FE70000              push 0000E76F
:00423B80 8D4DF0                  lea ecx, dword ptr [ebp-10]
:00423B83 E871650200              call 0044A0F9
:00423B88 FF75F0                  push [ebp-10]
:00423B8B 8D85C0FEFFFF            lea eax, dword ptr [ebp+FFFFFEC0]
:00423B91 50                      push eax
:00423B92 E879210100              call 00435D10
:00423B97 59                      pop ecx
:00423B98 59                      pop ecx
........................................................................

最后请看胜利截图

上一页 1 2 3 4