打开Import Reconstructor在"Attach to an Active Process"对话框选择这个进程.
装载这些dll需要很长一段时间.当完成后写下OEP的值,表的起始地址值和表的长度,不要按IAT AutoSearch.
如图在IMPORT RECONSTRUCTOR中那些值是这样计算的:你在纸上写下的值-Image Base. 比如: OEP=534E90, Image Base=400000, 534E90- 400000= 134E90. RVA也一样 (表的起始地址值).
现在按GET IMPORTS. 所有的entries都修复了.
现在按FIX DUMP 载入转储文件.我把它叫做TUTE.exe
它将被保存为TUTE_.exe.原先的文件保持原样.
到此armadillo保护已经被击败了.
第四步:如何击败BOSS
如果我们尝试运行TUTE_.exe它会无故终止.上面我刚说已经击败了armadillo,但是脱壳文件不能正常运行.见鬼了?
程序员(bad guys)不想让getright 5在我们的机器中自由运行、解压,然后他们做了手脚.
在OLLYDBG中载入tute_.exe.
运行,你会发现它突然终止.
BPX GetEnvironmentVariableA 当它中断时我们需要改变条件跳转,当从API返回程序时.
T看下图.
这是中断点BPX.现在返回程序用EXECUTE TILL RETURN 然后按一下F7.
这一流程将会重复多次,所以要熟练掌握.
修改跳转.
依次类推.
把JNZ改为JMP
你可以找到所有calls API然后修改临近的跳转.我把那些跳转罗列出来.
把JNZ改为JMP
你可以找到所有calls API然后修改临近的跳转.我把那些跳转罗列出来.
我想这个armadillo已经被搞定了.
Ricardo Narvaja
英文翻译Tenshin. 中文翻译:FTBirthday
完成了,好累哦…… 上一页 1 2 3 4 | 
安全中国首页 > 文章中心 > 脱壳技术