1) si sabes de ingenieria inversa la tool no te dara nuevos indicios de lo que sigue luego de desempacar (armaFP de vel y confirmar si tiene o no nanomites y si esta bien o no la iat)
digamos que armadillo kiler es para versiones 2.6x
2) si conoces de armadillo, vamos conversemos, cual es tu duda
http://ricardonarvaja.info/WEB/buscador.php "armadillo"
yo a lo menos recuerdo estas historias
1346-Registry medic v2006 armadillo by Apuromafo.7z
1347-Registry medic v2008 armadillo by Apuromafo.7z
1290-2__Bracket Trader_manejo de la bolsa en armadillo 3.x by Apuromafo.pdf
1289-1__Armadillo v8 +v7 by Apuromafo.pdf
1292-4_essential pimp para outlock armadillo by Apuromafo.pdf
1291-3__True Launch Bar 7.4 DLL armadillo by Apuromafo.pdf
tristemente son de armadillo 4 en adelante , tambien he visto y conozco temas que jamas han sido expuestos detras del keygening , pero como estoy retirado, no creo hablar mas del tema.
3) si no conoces de armadillo y quieres usar tools, te sugiero a lo menos que busques el unpacker de armaggedon creado en arteam,
http://www.accessroot.com/arteam/site/download.php?view.262suele ayudar bastante
una cosa es preguntar, pedir ayuda y otra muy diferente comentar con hechos: hablamos de comentarios te hago una referencia real
PID:http://ricardonarvaja.info/WEB/OTROS/HERRAMIENTAS/L-M-N-O-P/pidbeta_6.4.1%20july%202011%20-25-7-11%20beta_non_public.7zo
Scanning -> C:\archivos de programa\Registry Medic 2008\RegMedic.exe
File Type : 32-Bit Exe (Subsystem : Win GUI / 2), Size : 2002944 (01E9000h) Byte(s)
- Warning - FileAlignment seems wrong.. is 0x00001000, calculated 0x00000400
-> File has 8192 (02000h) bytes of appended data starting at offset 01E7000h
[File Heuristics] -> Flag : 00000000000000001100001000000111 (0x0000C207)
[!] Armadillo *Unknown Version* detected !
[!] Possible CD/DVD-Key or Serial Check -> registration code
[CompilerDetect] -> Visual C/C++
- Scan Took : 0.282 Second(s) [00000011Ah tick(s)]
C:\archivos de programa\Registry Medic 2008\RegMedic.exe
Protected Armadillo
File Size 2002944
Extra data size=8192
Load file
<-Find Protect
Protection system(Basic)
<Protection Options>
Standard protection or Minimum protection
<Backup Key Options>
Fixed Backup Keys
<Compression Options>
Minimal/Fastest Compression
<Other Options>
<-Find Version
Version 4.05 07Feb2005
<- Elapsed Time 00h 00m 00s 266ms ->
luego tengo que la version es 4.05 y no dice nada de nanomites
no discutire como desempacarlo
simplemente comparar en que esta hecho:
Armaintruder (modded)
Armadillo version: 4.05
Build date: 2005-02-07 17:19:47
OEP VA: 00400000
Raw options: 00034840
-=Protection=-
Standard or Minimum protection.
-=Miscellaneous=-
Basic version.
Compression: minimum (RLE).
veamos otros como AI creado por ghandi
File: RegMedic.exe
Path: C:\archivos de programa\Registry Medic 2008
* Scan Results *
Detected version: 4.05
* Compression Option *
Compression level: Minimal/Fastest
* Protection Options *
Minimum Protection
Armadillo sections: 5
-> Name: .text
-> Raw offset: 0x00013000
-> Raw size: 0x00031000
-> Virtual address: 0x00113000
-> Virtual size: 0x00040000
-> Characteristics: 0xE0000020
-> Name: .adata
-> Raw offset: 0x00044000
-> Raw size: 0x0000D000
-> Virtual address: 0x00153000
-> Virtual size: 0x00010000
-> Characteristics: 0xE0000020
-> Name: .data
-> Raw offset: 0x00051000
-> Raw size: 0x0000A000
-> Virtual address: 0x00163000
-> Virtual size: 0x00010000
-> Characteristics: 0xC0000040
-> Name: .reloc1
-> Raw offset: 0x0005B000
-> Raw size: 0x00003000
-> Virtual address: 0x00173000
-> Virtual size: 0x00010000
-> Characteristics: 0x42000040
-> Name: .pdata
-> Raw offset: 0x0005E000
-> Raw size: 0x00144000
-> Virtual address: 0x00183000
-> Virtual size: 0x00150000
-> Characteristics: 0xC0000040
Text section encrypted: No
Dword shuffling used: No
Real size of pdata: 0x00144000
Compression type: RLE Encoding
Raw options value: 0x00034840
Call exe OEP: 0x0052AA63
Call dll OEP: 0x0052937F
Offset to Security.dll: 0x0000000E
Security.dll size: 0x00042000
Security.dll base: 0x10000000
CopyMem-II decrypt: 0x1002B700
un log tipo de unpacking
ArmStripper v0.1 beta 6
(c) by BiT-H@ck, 2006-2007. Engine by Syd. Dizasm by Ms-Rem.
07:01:07 - open RegMedic.exe..
07:01:08 - starting c:\archivos de programa\registry medic 2008\regmedic.exe..
Previously break operation...
CreateThread break. Address:00d1abc3. Try trace to OEP...
OEP - 004f4d74
07:01:09 - loading modules..
el tema es que lo desempaca pero no repara la iat
dillo Die 1.6
--> Thunk @ 004FDAA4 = advapi32.dll!CloseServiceHandle
Call OEP hooked...
--> 00D6CA39
--> 00D6CA56
New Thread created. ID: 0000176C
OEP resolved to: 004F4D74
Dumping PE Sections...
Done. I did all of this in 43 seconds!
Lo desempaca perfectamentelink http://ricardonarvaja.info/WEB/OTROS/HERRAMIENTAS/A-B-C-D-E/Dillodie_1.6.raro
se puede renombrar luego a .rar y luego descomprimirveamos armaggedon 1.9
<------- 06/21/2012 07:05:26 ------->
Loading target:
RegMedic.exe
PEiDVersion: PEiD v0.94
PEiDLLVersion: PEiDLL v1.06
file is compiled/packed/encrypted with
Armadillo 1.xx - 2.xx -> Silicon Realms Toolworks [Overlay]
Process ID: C24
Processing target...
=================================
IAT VARIABLE REDIRECTION DISABLED!
VM address: 00D293F1
VM variable: 00D37028
=================================
IAT FIXED REDIRECTION DISABLED!
VM address: 00D2981E
=================================
Dumping target...
Dump done!
Saved to: ups.exe
=================================
Rebuilding Imports...
Rebuilding Imports completed
Return code: 0
Now, you should test your target. Good luck
=================================
IAT RVA: 000FD1E0
IAT Size: 000008C8
OEP VA: 004F4D74
OEP RVA: 000F4D74
OEP call return VA: 00D2CA58
Exit Process ID: C24
Lo desempaca perfectamenteambos corren, y aun si detecta o no la version compresion o no, puede desempacarse, pero no del todo registrarse ...
http://tuts4you.com/search.php?q=armadillohay mucho tema de armadillo pero mas en ingles que en español
por eso te sugiero ver el FAQ, pasar por los escritos de ricardo y luego preguntar luego tus dudas segun como vayas...