Armadillo 双进程 bp CreateThread断点无效。-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] Armadillo 双进程 bp CreateThread断点无效。 0.00雪花

发表于: 2010-8-23 15:37 4804

[旧帖] Armadillo 双进程 bp CreateThread断点无效。 0.00雪花

零点幽笛

2010-8-23 15:37

4804

Arma Find Protected查询结果如下。
目标为Armadillo保护
!- 保护系统级别为 (Digital River)
!-<所使用的保护模式>
标准保护或最小保护模式
!- <备份密钥设置>
不固定的备份密钥
!- <目标程序压缩设置>
较好 / 较慢的压缩方式
!<其它保护设置>
存储外部环境变量
使用 eSellerate 版本密钥

子进程 ID: 00000214
入口点: 006EF000
原始字节: 60E8
<- 共消耗时间 00时00分00秒390毫秒 ->

依次下如下几个断点：
bp OpenMutexA       双变单
he OutputDebugStringA  避开ATI

下he GetModuleHandleA+5 断点后
第一次F9 堆栈显示：
00138F0C  /0013E8EC
00138F10  |0110BF4F  返回到 0110BF4F 来自 kernel32.GetModuleHandleA
00138F14  |011A4BFC  ASCII "kernel32.dll"
00138F18  |011A6784  ASCII "VirtualAlloc"
00138F1C  |11CD6B58
00138F20  |E7DC5D38
00138F24  |007006D8  admin.007006D8
00138F28  |00000000

第二次F9 堆栈显示：
00138F0C  /0013E8EC
00138F10  |0110BF6D  返回到 0110BF6D 来自 kernel32.GetModuleHandleA
00138F14  |011A4BFC  ASCII "kernel32.dll"
00138F18  |011A6778  ASCII "VirtualFree"
00138F1C  |11CD6B58
00138F20  |E7DC5D38
00138F24  |007006D8  admin.007006D8
00138F28  |00000000

第三次F9 堆栈显示：
00138C40  /00138F10
00138C44  |010F0361  返回到 010F0361 来自 kernel32.GetModuleHandleA
00138C48  |00138DC0  ASCII "kernel32.dll"
00138C4C  |00000000
00138C50  |007006D8  admin.007006D8
00138C54  |00000001

取消断点alt＋f9返回到 010F0361处。

010F02D9 8B4D F8       MOV ECX,DWORD PTR SS:[EBP-8]
010F02DC 83C1 0C       ADD ECX,0C
010F02DF 894D F8       MOV DWORD PTR SS:[EBP-8],ECX
010F02E2 8B55 F4       MOV EDX,DWORD PTR SS:[EBP-C]
010F02E5 83C2 01       ADD EDX,1
010F02E8 8955 F4       MOV DWORD PTR SS:[EBP-C],EDX
010F02EB 8B45 F8       MOV EAX,DWORD PTR SS:[EBP-8]
010F02EE 8338 00       CMP DWORD PTR DS:[EAX],0
010F02F1 0F84 70030000 JE 010F0667
010F02F7 68 00010000    PUSH 100
010F02FC 8D8D B0FEFFFF LEA ECX,DWORD PTR SS:[EBP-150]
010F0302 51             PUSH ECX
010F0303 8B55 F8       MOV EDX,DWORD PTR SS:[EBP-8]
010F0306 8B02          MOV EAX,DWORD PTR DS:[EDX]
010F0308 50             PUSH EAX
010F0309 E8 32720700    CALL 01167540
010F030E 83C4 0C       ADD ESP,0C
010F0311 8B4D F8       MOV ECX,DWORD PTR SS:[EBP-8]
010F0314 8B51 08       MOV EDX,DWORD PTR DS:[ECX+8]
010F0317 83E2 01       AND EDX,1
010F031A 74 38          JE SHORT 010F0354
010F031C B8 20000000    MOV EAX,20
010F0321 C1E0 02       SHL EAX,2
010F0324 8B0D 6C5F1C01 MOV ECX,DWORD PTR DS:[11C5F6C]          ; admin.007006D8
010F032A 8B15 6C5F1C01 MOV EDX,DWORD PTR DS:[11C5F6C]          ; admin.007006D8
010F0330 8B35 6C5F1C01 MOV ESI,DWORD PTR DS:[11C5F6C]          ; admin.007006D8
010F0336 8B5E 50       MOV EBX,DWORD PTR DS:[ESI+50]
010F0339 335A 64       XOR EBX,DWORD PTR DS:[EDX+64]
010F033C 331C01       XOR EBX,DWORD PTR DS:[ECX+EAX]
010F033F 81E3 80000000 AND EBX,80
010F0345 F7DB          NEG EBX
010F0347 1BDB          SBB EBX,EBX
010F0349 F7DB          NEG EBX
010F034B 0FB6C3       MOVZX EAX,BL
010F034E 85C0          TEST EAX,EAX
010F0350 74 02          JE SHORT 010F0354
010F0352  ^ EB 85          JMP SHORT 010F02D9
010F0354 8D8D B0FEFFFF LEA ECX,DWORD PTR SS:[EBP-150]
010F035A 51             PUSH ECX
010F035B FF15 90301A01 CALL DWORD PTR DS:[11A3090]             ; kernel32.GetModuleHandleA
010F0361 8B55 F4       MOV EDX,DWORD PTR SS:[EBP-C]       ; Alt＋F9停在这里
010F0364 8B0D 048D1C01 MOV ECX,DWORD PTR DS:[11C8D04]
010F036A 890491       MOV DWORD PTR DS:[ECX+EDX*4],EAX
010F036D 8B55 F4       MOV EDX,DWORD PTR SS:[EBP-C]
010F0370 A1 048D1C01    MOV EAX,DWORD PTR DS:[11C8D04]
010F0375 833C90 00    CMP DWORD PTR DS:[EAX+EDX*4],0
010F0379 75 5C          JNZ SHORT 010F03D7
010F037B 8B4D F8       MOV ECX,DWORD PTR SS:[EBP-8]
010F037E 8B51 08       MOV EDX,DWORD PTR DS:[ECX+8]
010F0381 83E2 02       AND EDX,2
010F0384 74 38          JE SHORT 010F03BE
010F0386 B8 06000000    MOV EAX,6
010F038B C1E0 02       SHL EAX,2
010F038E 8B0D 6C5F1C01 MOV ECX,DWORD PTR DS:[11C5F6C]          ; admin.007006D8
010F0394 8B15 6C5F1C01 MOV EDX,DWORD PTR DS:[11C5F6C]          ; admin.007006D8
010F039A 8B35 6C5F1C01 MOV ESI,DWORD PTR DS:[11C5F6C]          ; admin.007006D8
010F03A0 8B5E 50       MOV EBX,DWORD PTR DS:[ESI+50]
010F03A3 335A 64       XOR EBX,DWORD PTR DS:[EDX+64]
010F03A6 331C01       XOR EBX,DWORD PTR DS:[ECX+EAX]
010F03A9 83E3 10       AND EBX,10
010F03AC F7DB          NEG EBX
010F03AE 1BDB          SBB EBX,EBX
010F03B0 F7DB          NEG EBX
010F03B2 0FB6C3       MOVZX EAX,BL
010F03B5 85C0          TEST EAX,EAX
010F03B7 75 05          JNZ SHORT 010F03BE
010F03B9  ^ E9 1BFFFFFF    JMP 010F02D9
010F03BE 8D8D B0FEFFFF LEA ECX,DWORD PTR SS:[EBP-150]
010F03C4 51             PUSH ECX
010F03C5 FF15 98301A01 CALL DWORD PTR DS:[11A3098]             ; kernel32.LoadLibraryA
010F03CB 8B55 F4       MOV EDX,DWORD PTR SS:[EBP-C]
010F03CE 8B0D 048D1C01 MOV ECX,DWORD PTR DS:[11C8D04]
010F03D4 890491       MOV DWORD PTR DS:[ECX+EDX*4],EAX
010F03D7 8B55 F4       MOV EDX,DWORD PTR SS:[EBP-C]
010F03DA A1 048D1C01    MOV EAX,DWORD PTR DS:[11C8D04]
010F03DF 833C90 00    CMP DWORD PTR DS:[EAX+EDX*4],0
010F03E3 75 05          JNZ SHORT 010F03EA                      ; 此处NOP
010F03E5  ^ E9 EFFEFFFF    JMP 010F02D9
010F03EA C785 A4FEFFFF 0>MOV DWORD PTR SS:[EBP-15C],0
010F03F4 C785 A8FEFFFF 0>MOV DWORD PTR SS:[EBP-158],0
010F03FE 8B4D F8       MOV ECX,DWORD PTR SS:[EBP-8]
010F0401 8B51 04       MOV EDX,DWORD PTR DS:[ECX+4]
010F0404 8995 ACFEFFFF MOV DWORD PTR SS:[EBP-154],EDX
010F040A EB 0F          JMP SHORT 010F041B
010F040C 8B85 ACFEFFFF MOV EAX,DWORD PTR SS:[EBP-154]
010F0412 83C0 0C       ADD EAX,0C
010F0415 8985 ACFEFFFF MOV DWORD PTR SS:[EBP-154],EAX
010F041B 8B8D ACFEFFFF MOV ECX,DWORD PTR SS:[EBP-154]
010F0421 8339 00       CMP DWORD PTR DS:[ECX],0
010F0424 74 11          JE SHORT 010F0437
010F0426 8B95 A8FEFFFF MOV EDX,DWORD PTR SS:[EBP-158]
010F042C 83C2 01       ADD EDX,1
010F042F 8995 A8FEFFFF MOV DWORD PTR SS:[EBP-158],EDX
010F0435  ^ EB D5          JMP SHORT 010F040C
010F0437 33C9          XOR ECX,ECX
010F0439 8B85 A8FEFFFF MOV EAX,DWORD PTR SS:[EBP-158]
010F043F BA 04000000    MOV EDX,4
010F0444 F7E2          MUL EDX
010F0446 0F90C1       SETO CL
010F0449 F7D9          NEG ECX
010F044B 0BC8          OR ECX,EAX
010F044D 51             PUSH ECX
010F044E E8 88450800    CALL 011749DB
010F0453 83C4 04       ADD ESP,4
010F0456 8985 64FDFFFF MOV DWORD PTR SS:[EBP-29C],EAX
010F045C 8B45 F4       MOV EAX,DWORD PTR SS:[EBP-C]
010F045F 8B0D FC8C1C01 MOV ECX,DWORD PTR DS:[11C8CFC]
010F0465 8B95 64FDFFFF MOV EDX,DWORD PTR SS:[EBP-29C]
010F046B 891481       MOV DWORD PTR DS:[ECX+EAX*4],EDX
010F046E 33C9          XOR ECX,ECX
010F0470 8B85 A8FEFFFF MOV EAX,DWORD PTR SS:[EBP-158]
010F0476 BA 04000000    MOV EDX,4
010F047B F7E2          MUL EDX
010F047D 0F90C1       SETO CL
010F0480 F7D9          NEG ECX
010F0482 0BC8          OR ECX,EAX
010F0484 51             PUSH ECX
010F0485 E8 51450800    CALL 011749DB
010F048A 83C4 04       ADD ESP,4
010F048D 8985 60FDFFFF MOV DWORD PTR SS:[EBP-2A0],EAX
010F0493 8B45 F4       MOV EAX,DWORD PTR SS:[EBP-C]
010F0496 8B0D 008D1C01 MOV ECX,DWORD PTR DS:[11C8D00]
010F049C 8B95 60FDFFFF MOV EDX,DWORD PTR SS:[EBP-2A0]
010F04A2 891481       MOV DWORD PTR DS:[ECX+EAX*4],EDX
010F04A5 8B45 F8       MOV EAX,DWORD PTR SS:[EBP-8]
010F04A8 8B48 04       MOV ECX,DWORD PTR DS:[EAX+4]
010F04AB 898D ACFEFFFF MOV DWORD PTR SS:[EBP-154],ECX
010F04B1 EB 1E          JMP SHORT 010F04D1
010F04B3 8B95 ACFEFFFF MOV EDX,DWORD PTR SS:[EBP-154]
010F04B9 83C2 0C       ADD EDX,0C
010F04BC 8995 ACFEFFFF MOV DWORD PTR SS:[EBP-154],EDX
010F04C2 8B85 A4FEFFFF MOV EAX,DWORD PTR SS:[EBP-15C]
010F04C8 83C0 01       ADD EAX,1
010F04CB 8985 A4FEFFFF MOV DWORD PTR SS:[EBP-15C],EAX
010F04D1 8B8D ACFEFFFF MOV ECX,DWORD PTR SS:[EBP-154]
010F04D7 8339 00       CMP DWORD PTR DS:[ECX],0
010F04DA 0F84 47010000 JE 010F0627
010F04E0 68 00010000    PUSH 100
010F04E5 8D95 A0FDFFFF LEA EDX,DWORD PTR SS:[EBP-260]
010F04EB 52             PUSH EDX
010F04EC 8B85 ACFEFFFF MOV EAX,DWORD PTR SS:[EBP-154]
010F04F2 8B08          MOV ECX,DWORD PTR DS:[EAX]
010F04F4 51             PUSH ECX
010F04F5 E8 46700700    CALL 01167540
010F04FA 83C4 0C       ADD ESP,0C
010F04FD 8B15 6C5F1C01 MOV EDX,DWORD PTR DS:[11C5F6C]          ; admin.007006D8
010F0503 A1 6C5F1C01    MOV EAX,DWORD PTR DS:[11C5F6C]
010F0508 8B4A 0C       MOV ECX,DWORD PTR DS:[EDX+C]
010F050B 3348 50       XOR ECX,DWORD PTR DS:[EAX+50]
010F050E 8B15 6C5F1C01 MOV EDX,DWORD PTR DS:[11C5F6C]          ; admin.007006D8
010F0514 334A 64       XOR ECX,DWORD PTR DS:[EDX+64]
010F0517 A1 6C5F1C01    MOV EAX,DWORD PTR DS:[11C5F6C]
010F051C 3348 5C       XOR ECX,DWORD PTR DS:[EAX+5C]
010F051F 898D 54FDFFFF MOV DWORD PTR SS:[EBP-2AC],ECX
010F0525 8D8D A0FDFFFF LEA ECX,DWORD PTR SS:[EBP-260]
010F052B 51             PUSH ECX
010F052C 8B55 F4       MOV EDX,DWORD PTR SS:[EBP-C]
010F052F A1 048D1C01    MOV EAX,DWORD PTR DS:[11C8D04]
010F0534 8B0C90       MOV ECX,DWORD PTR DS:[EAX+EDX*4]
010F0537 51             PUSH ECX
010F0538 FF15 94301A01 CALL DWORD PTR DS:[11A3094]             ; kernel32.GetProcAddress
010F053E 3385 54FDFFFF XOR EAX,DWORD PTR SS:[EBP-2AC]
010F0544 8B55 F4       MOV EDX,DWORD PTR SS:[EBP-C]
010F0547 8B0D FC8C1C01 MOV ECX,DWORD PTR DS:[11C8CFC]
010F054D 8B1491       MOV EDX,DWORD PTR DS:[ECX+EDX*4]
010F0550 8B8D A4FEFFFF MOV ECX,DWORD PTR SS:[EBP-15C]
010F0556 89048A       MOV DWORD PTR DS:[EDX+ECX*4],EAX
010F0559 6A 01          PUSH 1
010F055B 8D95 A0FDFFFF LEA EDX,DWORD PTR SS:[EBP-260]
010F0561 52             PUSH EDX
010F0562 8B45 F4       MOV EAX,DWORD PTR SS:[EBP-C]
010F0565 8B0D 048D1C01 MOV ECX,DWORD PTR DS:[11C8D04]
010F056B 8B1481       MOV EDX,DWORD PTR DS:[ECX+EAX*4]
010F056E 52             PUSH EDX
010F056F E8 1C0C0000    CALL 010F1190
010F0574 83C4 0C       ADD ESP,0C
010F0577 8B4D F4       MOV ECX,DWORD PTR SS:[EBP-C]
010F057A 8B15 008D1C01 MOV EDX,DWORD PTR DS:[11C8D00]
010F0580 8B0C8A       MOV ECX,DWORD PTR DS:[EDX+ECX*4]
010F0583 8B95 A4FEFFFF MOV EDX,DWORD PTR SS:[EBP-15C]
010F0589 890491       MOV DWORD PTR DS:[ECX+EDX*4],EAX
010F058C 8B45 F4       MOV EAX,DWORD PTR SS:[EBP-C]
010F058F 8B0D 008D1C01 MOV ECX,DWORD PTR DS:[11C8D00]
010F0595 8B1481       MOV EDX,DWORD PTR DS:[ECX+EAX*4]
010F0598 8B85 A4FEFFFF MOV EAX,DWORD PTR SS:[EBP-15C]
010F059E 833C82 00    CMP DWORD PTR DS:[EDX+EAX*4],0
010F05A2 75 32          JNZ SHORT 010F05D6
010F05A4 6A 00          PUSH 0
010F05A6 8D8D A0FDFFFF LEA ECX,DWORD PTR SS:[EBP-260]
010F05AC 51             PUSH ECX
010F05AD 8B55 F4       MOV EDX,DWORD PTR SS:[EBP-C]
010F05B0 A1 048D1C01    MOV EAX,DWORD PTR DS:[11C8D04]
010F05B5 8B0C90       MOV ECX,DWORD PTR DS:[EAX+EDX*4]
010F05B8 51             PUSH ECX
010F05B9 E8 D20B0000    CALL 010F1190
010F05BE 83C4 0C       ADD ESP,0C
010F05C1 8B55 F4       MOV EDX,DWORD PTR SS:[EBP-C]
010F05C4 8B0D 008D1C01 MOV ECX,DWORD PTR DS:[11C8D00]
010F05CA 8B1491       MOV EDX,DWORD PTR DS:[ECX+EDX*4]
010F05CD 8B8D A4FEFFFF MOV ECX,DWORD PTR SS:[EBP-15C]
010F05D3 89048A       MOV DWORD PTR DS:[EDX+ECX*4],EAX
010F05D6 8B55 F4       MOV EDX,DWORD PTR SS:[EBP-C]
010F05D9 A1 008D1C01    MOV EAX,DWORD PTR DS:[11C8D00]
010F05DE 8B0C90       MOV ECX,DWORD PTR DS:[EAX+EDX*4]
010F05E1 8B15 6C5F1C01 MOV EDX,DWORD PTR DS:[11C5F6C]          ; admin.007006D8
010F05E7 A1 6C5F1C01    MOV EAX,DWORD PTR DS:[11C5F6C]
010F05EC 8B35 6C5F1C01 MOV ESI,DWORD PTR DS:[11C5F6C]          ; admin.007006D8
010F05F2 8B3D 6C5F1C01 MOV EDI,DWORD PTR DS:[11C5F6C]          ; admin.007006D8
010F05F8 8B7F 0C       MOV EDI,DWORD PTR DS:[EDI+C]
010F05FB 337E 50       XOR EDI,DWORD PTR DS:[ESI+50]
010F05FE 3378 64       XOR EDI,DWORD PTR DS:[EAX+64]
010F0601 337A 5C       XOR EDI,DWORD PTR DS:[EDX+5C]
010F0604 8B95 A4FEFFFF MOV EDX,DWORD PTR SS:[EBP-15C]
010F060A 333C91       XOR EDI,DWORD PTR DS:[ECX+EDX*4]
010F060D 8B45 F4       MOV EAX,DWORD PTR SS:[EBP-C]
010F0610 8B0D 008D1C01 MOV ECX,DWORD PTR DS:[11C8D00]
010F0616 8B1481       MOV EDX,DWORD PTR DS:[ECX+EAX*4]
010F0619 8B85 A4FEFFFF MOV EAX,DWORD PTR SS:[EBP-15C]
010F061F 893C82       MOV DWORD PTR DS:[EDX+EAX*4],EDI
010F0622  ^ E9 8CFEFFFF    JMP 010F04B3
010F0627 8B0D 6C5F1C01 MOV ECX,DWORD PTR DS:[11C5F6C]          ; admin.007006D8
010F062D 8B15 6C5F1C01 MOV EDX,DWORD PTR DS:[11C5F6C]          ; admin.007006D8
010F0633 A1 6C5F1C01    MOV EAX,DWORD PTR DS:[11C5F6C]
010F0638 8B35 6C5F1C01 MOV ESI,DWORD PTR DS:[11C5F6C]          ; admin.007006D8
010F063E 8B76 70       MOV ESI,DWORD PTR DS:[ESI+70]
010F0641 3370 64       XOR ESI,DWORD PTR DS:[EAX+64]
010F0644 3372 4C       XOR ESI,DWORD PTR DS:[EDX+4C]
010F0647 3371 78       XOR ESI,DWORD PTR DS:[ECX+78]
010F064A 8B4D F4       MOV ECX,DWORD PTR SS:[EBP-C]
010F064D 8B15 048D1C01 MOV EDX,DWORD PTR DS:[11C8D04]
010F0653 33348A       XOR ESI,DWORD PTR DS:[EDX+ECX*4]
010F0656 8B45 F4       MOV EAX,DWORD PTR SS:[EBP-C]
010F0659 8B0D 048D1C01 MOV ECX,DWORD PTR DS:[11C8D04]
010F065F 893481       MOV DWORD PTR DS:[ECX+EAX*4],ESI
010F0662  ^ E9 72FCFFFF    JMP 010F02D9
010F0667 EB 03          JMP SHORT 010F066C                ; 此处下硬件执行断点
010F0669 D6             SALC
010F066A D6             SALC
010F066B 8F             ???                                     ; 未知命令
010F066C 8B15 94E51C01 MOV EDX,DWORD PTR DS:[11CE594]

断下来以后把010F03E3处修改的NOP还原。然后下bp CreateThread或在内存镜像00401000段下断均无法拦截到。
程序显示如下错误。
Error while unpacking program, code C. Please report to author.
请大伙给个解决思路。

[培训]科锐逆向工程师培训第53期2025年7月8日开班！

收藏・0

免费・0

支持