手脱Armadillo壳(穿山甲壳).doc

手脱 Armadillo 壳( 穿山甲壳) ----------------------------------------------------------- ---------------------- ----------------------------------------------------------- ---------------------- *********************************************************** ******************************** 1、 --& 单线程& 标准方式========== 》目标程序“ XDeskWeather (桌面天气秀) ”*********************************************************** ******************************** 方法: 2 次断点法,即是: bp GetModuleHandleA/he GetModuleHandleA/bp GetModuleHandleA+5/he GetModuleHandleA+5 bp GetCurrentThreadId *********************************************************** ******************************** OD ,载入。。。。。 004FD379 X>/$ 55 push ebp // 程序入口 004FD37A |. 8BEC mov ebp,esp 004FD37C |. 6A FF push -1 下断 he GetModuleHandleA , F9 运行,注意看堆栈! 7C80B529 k> 8BFF mov edi,edi ; // 停在这里 7C80B52B 55 push ebp 7C80B52C 8BEC mov ebp,esp 7C80B52E 837D 08 00 cmp dword ptr ss:[ebp+8],0 *********************************** 每一次 F9 运行时候,所出现的堆栈情况! *********************************** 0012FF38 004FD441 /CALL 到 GetModuleHandleA 来自 0012FF3C 00000000 \pModule = NULL 0012FF40 00000000 0012ED48 77F45BB0 /CALL 到 GetModuleHandleA 来自 0012ED4C 77F44FF4 \pModule = "" 0012ED50 00000001 0012EC88 5D175334 /CALL 到 GetModuleHandleA 0012EC8C 5D175380 \pModule = "" 0012EC90