venuserena 发表于 2010-7-27 19:54:32

脱完穿山甲4xx时,不知如何修复


OEP找到了,但用importREC修复的时候出现了49个无效指针,用追踪等级1修复了21个,其他剪掉后程序无法运行,用追踪等级3无法修复。请求各位大大给个思路,谢谢啦

爱因斯坦 发表于 2010-7-27 22:31:36

标准版?
处理完magic jump修复时候无效的剪切掉就可以了:)

venuserena 发表于 2010-7-27 23:18:45

非标准的,都剪切掉也无法运行:(

爱因斯坦 发表于 2010-7-31 09:58:57

回复 3# venuserena

发个外链上来看看

venuserena 发表于 2010-7-31 14:04:41

回复 4# 爱因斯坦


    谢谢帮忙啦,http://www.163pan.com/files/20g000x01.html,OEP我已找到004B79A6,就是不知如何修复

爱因斯坦 发表于 2010-7-31 16:35:50

本帖最后由 爱因斯坦 于 2010-7-31 16:37 编辑

回复 5# venuserena

由于服务器所在机房正在进行线路维修,本文件暂时只能由文件上传者下载
寒{:2_78:}

上传到这里吧http://good.gd/  {:2_70:}

不用注册直接上传就可以。 {:2_79:}

venuserena 发表于 2010-7-31 16:43:59

回复 6# 爱因斯坦


    {:3_85:} ,晕,重新上传了,应该能下了吧, http://good.gd/634096.htm

爱因斯坦 发表于 2010-7-31 16:45:49

本帖最后由 爱因斯坦 于 2010-7-31 22:56 编辑

回复 7# venuserena


    在上班,回家了帮你看下{:2_70:}
    此帖待编辑,勿删{:2_78:}


目标为Armadillo保护
!- 保护系统级别为 (Basic)
!-<所使用的保护模式>
屏蔽调试器
!- <备份密钥设置>
固定的备份密钥
!- <目标程序压缩设置>
最小 / 最快的压缩方式
!<其它保护设置>
版本号 4.30a 12August2005

双进程的,BP OpenMutexA  转单进程的时候,把00401000修改完新建EIP后点运行就弹错误然后OD关闭。
郁闷了。再研究研究

知道刚才的问题了,断点应该下he(硬件断点)的,下的bp被检测到了,哎呀{:2_78:}

OEP我已找到004B79A6,就是不知如何修复

的确如此,可能是你magic jump没有处理好,记得改了之后再改回去{:2_70:}



无效指针直接剪切掉。修复后可以运行,不过有个错误提示,可能由于只发了一个文件的事吧,没脱壳的也有{:2_70:}
没减肥,脱完后6.75MB(原来2.78MB){:2_78:}
你自己拿CFF Explorer砍它几刀吧{:2_77:}
脱壳后的放外链http://good.gd/634518.htm{:2_79:}
你再再按原来的办法脱一遍,断点全部用he的,改的记得改回去再看看行不。{:2_70:}

爱因斯坦 发表于 2010-7-31 23:17:42

回复 7# venuserena


    刚开始弄得特别郁闷,下个Armadillo Find Protected 1.9查下什么保护吧,全部都是汉化版{:2_78:}
   一共没几个字不知道汉化有什么好处,汉化的把查的结果也汉化了,搞得我都不知道什么保护了{:2_78:}
  搜索了一下看到fly发的英文版的,下载吧,nod32给干了,直接不让下,nod32还没有退出,只能禁用,禁用也不让下。
无奈,把nod32从启动项中删除,重启。依然下不下来,看来是过于郁闷影响到了我的人品。
这大热天的气死能。无奈只得一点点找出错的可能,好在成功了{:2_77:}
我又前进了一小小步{:2_70:}

venuserena 发表于 2010-8-1 13:30:14

回复 9# 爱因斯坦


    {:3_100:} ,还是不行,都改回来了,但还有49个无效指针,剪切掉还是不能运行,我现在怀疑我系统是不是有问题

爱因斯坦 发表于 2010-8-1 18:14:28

回复 10# venuserena


    寒,怎么会这么多,肯定是你哪里没有处理好,你把你的脱壳过程大致的帖出来,我回家给你看看{:2_70:}

venuserena 发表于 2010-8-1 20:11:07

本帖最后由 venuserena 于 2010-8-1 20:17 编辑

回复 11# 爱因斯坦


    http://good.gd/635666.htm,我把我找OEP的过程,以及那个加壳文件都打包上传了,真的太麻烦你了,你太热心了{:3_99:}

对了,我脱壳是用LOADPE脱的,常规方法,先修正内存镜像,再完整脱壳,最后在用IMREC修复

爱因斯坦 发表于 2010-8-1 21:09:47

本帖最后由 爱因斯坦 于 2010-8-1 21:11 编辑

回复 12# venuserena


    01055ACA      0F84 2F010000    je 01055BFF                      //此处是MAGIC JMP,但没实现,但沿着它的箭头往下继续找
                                                                  找到下面那段(这里我没改成JMP)




01055C0E    0F85 49FEFFFF    jnz 01055A5D
01055C14      EB 03            jmp short 01055C19  //F2下断,Shift+F9,断下!取消断点!

je那里没改?为什么不改?
把这个je改成jmp
在01055C14      EB 03            jmp short 01055C19下断
Shift+F9,断下后到上面把je改成jmp的那里撤消。再把01055C14这的断点取消。

找OEP的时候可以下 he CreateThread,断下后Alt+F9返回,然后F8找CALL 寄存器,F7跟进,这样比你“打开内存镜像,在00401000段下断,Shift+F9”实惠。
其他的基本都是一样了,应该不会有那么多的无效指针,如果一切依然,建议换个importREC或换台电脑试试。
程序有自校验。脱壳后的没办法正常运行,但是不是无法运行那种,是被自校验弄到了。



我去做饭吃,饿死了{:2_78:}

venuserena 发表于 2010-8-2 09:51:50

回复 13# 爱因斯坦


    {:3_99:} ,太感谢啦,改了magic jmp后成功了,你太热心了,给我做了分析,我自己都快放弃了,呵呵。细想一下,我只顾找OEP了,忽略了IAT加密{:3_100:} ,还是基础不牢啊,回去得看一阵书再来练脱壳了,再次谢谢帮忙了,可惜我级数不过,只能给你加一个UB,呜呜。。。

爱因斯坦 发表于 2010-8-2 19:18:26

回复 14# venuserena


    呵呵,能解决问题就好。助人为快乐之本。我本来就只为学技术,没有商业目的。{:2_78:}
而且不是干这个的,跟大牛们不一样,他们有工作比较忙,当然能力也特别有限,只要能帮助到的我肯定不遗余力{:2_70:}
magic jump这一步不应该忽略的,下he GetModuleHandleA+* 找magic jump就是为了后面的修复。
相信你会记得特别清楚,以后不会有这个疏忽了{:2_67:}
页: [1] 2
查看完整版本: 脱完穿山甲4xx时,不知如何修复