脱壳 Armadillo 7.0 with Standard protection option - 加密解密 - Eddy Blog

BASE64编码 »

« 雪落的瞬间被捕

脱壳 Armadillo 7.0 with Standard protection option

Eddy 发布于2009-11-28 10:45:4 分类: 加密解密已浏览loading次网友评论0条 我要评论

1、IAT修复

硬件访问断点（Byte）GetModuleHandleA

F9，中断一次后： BP on LoadLibraryA 然后F9。取消断点，Alt+F9返回

Search Binary for:

8B 95 40 D8 FF FF 83 C2 04 89

NOP掉JNZ，在该指令上下硬件访问断点，F9

断下后，恢复原先NOP掉的指令。在当前指令前一指令新建EIP。

2、OEP

Search Binary for:

33 4A 04 89 4D DC 8B 45 08 8B 48 04 51 8B 55 08 8B 42 08 50 6A 00 8B 4D 08 8B 51 0C 52 8B 45 F4
2B 45 DC FF D0 89 45 FC 8B 45 FC 5E 8B E5 5D C3

CALL EAX ---> EAX:OEP，F4。F7到OEP

3、LordPE——DUMP

ImprotREC——修复

OK！

已经有(0)位网友发表了评论，你也评一评吧！
原创文章如转载，请注明：转载自Eddy Blog
原文地址：http://www.rrgod.com/decryption/157.html 欢迎订阅Eddy Blog。

关于 Armadillo 7.0 脱壳的相关文章

2009-11-26 15:12:17keymake注册机脱壳与修复
2009-11-8 23:52:53脱壳ZProtect 1.4.9.2 记事本默认保护
2009-10-28 19:41:22The Art of Unpacking[脱壳的艺术]

已经有(0)位网友发表了评论，你也评一评吧！
获取引用通告
收起评论列表

到目前为止，已经有0位网友留下了痕迹。

最新评论及回复

大家最关注

大家最喜欢

文章归档