点击获取更多： 手脱,标准,单进程,Armadillo,破解 相关下载

　

一: 脱壳部分 1.侦壳：用PEiD查壳Armadillo 3.00a - 3.61 -> Silicon Realms Toolworks
   再用FI 4.01a 查一下 显示为:  Armadillo v3.05 big {glue}

2 判断进程：
启动程序。然后在 Windows 任务管理器或LordPE里查看是单进程的Armadillo还是双

进程的。这个程序是单进程的，我们可以省略分离父子进程的过程。

用OD载下,然后用IsDebug 1.4插件去掉Ollydbg的调试器标志.设置Ollydbg忽略所有异常
 
  忽略所有异常选项,但运行程序有异常.在忽略异常范围内添加以下异常:
  **************************************
  C000001E (INVALID LOCK SEQUENCE)
  **************************************
下硬件执行断点: he GetModuleHandleA+5  然后shift+F9运行 //硬件断点和+5 都是为了

防止壳检测我们是否下过断点.在脱穿山甲的时候,经常会用到这个断点,通过这个断点,

我们可以很快的找到Magic Jump这也是高手们能过单步跟踪,总结出的经验.   还有一点

要说明一下.我这里用的操作系统是Windows XP SP2 的.如果您使用的操作系统是2000

的话,下这个断点是断不下来.,老师是这样给我们说的.具体是不是这样,我也没测试.

   断下来后.我们可以先删除断点,再直接 Alt+F9 返回了. 因为这个程序的壳的版本比

较老, 所以可以这样直接返回了.  找到 Magic Jump 把JE 改为 JMP .  (这里有两个JE

我们应该选哪个呢? 跳转最大的那个就是我们要找的Magic Jump).    然后,在 Magic

Jump 处 用跟随命令(可以直接在此行按Enter)来到跳转处.向下看,找到那个JMP.  在

此处F2 下断,然后Shift+F9 运行到此处,再取消断点. 

   接下来. 回到 Magic Jump ,把刚才的修改撤消.  然后Alt+M打开内存映射窗口.
在 00401000  处单击鼠标右键,设置内存访问断点,Shift+F9运行. 稍等片刻,直接到达OEP.
 修复IAT
 
  现在可以用 LordPE DUMP了。先修正一下镜像,完整转存后用 ImportREC v1.6F 修复

IAT，OEP处填34A94自动搜索IAT 获取输入表 显示无效函数 发现有11个无效的指针,

一般, Armadillo 的壳在修复的时候,如果发现无效指针小于20,我们可以直接Cut 掉这些

无效的指针. 最后修复抓取文件. 现在我们可以给文件做个减肥。用 LordPE 打开脱壳

后的文件。 把 text1 adata data1  这3个区段删除掉。然后重建PE文件.

当我们再用PEID查的时候,显示为: Armadillo 1.xx - 2.xx -> Silicon Realms Toolworks
我们不要以为,这个程序是加了双层壳. 再用 FI 查一下.显示为: MS Visual C++ v5.? <*PE>

穿山甲3.x  的,当脱壳后,一般再用PEID查的时候,显示的就是: Armadillo 1.xx - 2.xx
二: 破解部分
直接用OD载入,我们脱壳后的程序,然后F9运行. 然后输入我们的假码. 出现错误提示框后.

  F12 暂停程序.然后打开 调用堆栈. 在含有 MessageBoxA 的代码行中. 右击. ?显示调用.

 然后来到段尾. 在Retn 处下断. 再F9运行程序,然后点击错误对话框中的确定按钮. 这样

程序就断在这里了. 我们单步一下.   这样就返回到”程序的领域”了. 然后删除刚才的断点.
当前位置的上面的CALL就是提示错误的CALL了.   然后找到段首. 在段首下断. 然后再运

行程序.  现在就可以跟踪了.

补充:
如果教程是用过的程序,不能正常运行,请解压 LibInquire_原版.rar

* 注意:下载本站软件请使用迅雷软件下载，速度更快、更稳定。 本站统一解压密码为:www.05112.org
* 如果是下载黑客相关软件，请注意自行杀毒！
* 如果您发现该软件不能下载，请通知管理员，谢谢！
* 未经本站明确许可，任何网站不得非法盗链及抄袭本站资源；如引用页面，请注明来自本站，谢谢您的支持！
* 本站软件均收集于网络，如有侵犯您的产权请及时联系我们，我们会在得到反映的24小时内删除这些下载及相应信息！