-
-
[求助]请教Armadillo CopyMem-II+Import Elimination组合的处理
-
-
[求助]请教Armadillo CopyMem-II+Import Elimination组合的处理
CopyMem-II加壳的程序无法用OllDbg直接调试子进程,所以只能通过Patch解码子进程区块然后转储,而这个时候子进程已经走过了Magic Jump,即使事后用OllyDbg附加也无法跳过IAT的加密。
ArmInLine可以直接Rebase并识别部分的API,但是总有一部分无法恢复。
虽然可以在父进程DebugActiveProcess的时候用OllyDbg拦截,但是外壳每次生成的调用指令地址都不一样(当然API先后顺序是一样的),即使在这种情况下避开Magic Jump,但是由于代码页面没有解码,无法定位和修复IAT,也不可能用ArmInLine自动处理。
不知道修复这部分输入表有没有什么有效的办法?
例子程序如IE Password。
fceK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4c8Z5k6h3N6J5K9h3c8W2L8$3&6Q4x3X3g2U0L8$3#2Q4x3V1k6A6L8Y4c8W2M7X3&6W2N6s2m8S2M7%4y4Q4x3X3g2Z5N6r3#2D9
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
