手脱Armadillo4.40+屏蔽调试器+双进程模式+输入表乱序+策略代码衔接[原创]-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

手脱Armadillo4.40+屏蔽调试器+双进程模式+输入表乱序+策略代码衔接[原创]

发表于: 2007-2-25 15:15 16390

手脱Armadillo4.40+屏蔽调试器+双进程模式+输入表乱序+策略代码衔接[原创]

cxhcxh

2007-2-25 15:15

16390

【文章标题】: 手脱Armadillo4.40+屏蔽调试器+双进程模式+输入表乱序+策略代码衔接+防止内存补丁+双进程模式
【文章作者】: cxhcxh
【作者邮箱】: cxh852456@163.com
【作者主页】: .......
【作者QQ号】: 290019543
【软件名称】: unpackme
【下载地址】: 自己搜
【加壳方式】: Armadillo4.40
【保护方式】: 屏蔽调试器.......
【使用工具】: OD等
【操作平台】: xp
【软件介绍】: unpackme
【作者声明】: 只是感兴趣，没有其他目的。失误之处敬请诸位大侠赐教!
--------------------------------------------------------------------------------
【详细过程】

  一.查壳
  PEID：Armadillo 3.78 - 4.xx -> Silicon Realms Toolworks

  FP1.4：
  ======== 25-02-2007 13:37:37 ========
  D:\破解工具箱\Armadillo\Armadillo 4.40\Armadillo 4.40\UnPackMe.exe
  ▲ 目标经Armadillo保护
  保护系统授权等级(专业版)
  【程序所使用保护模式】
  屏蔽调试器
  双进程模式
  使用输入表乱序程序保护模式
  使用策略代码衔接程序保护模式
  使用防止内存补丁程序保护模式
  【备份密钥设置】
  固定的备份密钥
  【程序压缩设置】
  最好/最慢地压缩方式
  【其它保护设置】
  ▲ 版本号 4.40


  二。找OEP
知道了保护方式，就慢慢来脱吧。OD载入，忽略所有异常选项
  004B3000 >  60             PUSHAD------------------------------------------停在这
  004B3001 E8 00000000    CALL UnPackMe.004B3006
  004B3006 5D             POP EBP
  004B3007 50             PUSH EAX
  004B3008 51             PUSH ECX
  004B3009 0FCA          BSWAP EDX
  004B300B F7D2          NOT EDX
  004B300D 9C             PUSHFD
  004B300E F7D2          NOT EDX
  004B3010 0FCA          BSWAP EDX

  这个UNPACKME采用COPYMEM2保护，用STANDARD PROTECTTION保护的脱壳方法行不通

  下断BP WaitForDebugEvent+5，运行，中断，看堆栈
  0012DC60  /0012F774
  0012DC64  |0048F066  返回到 UnPackMe.0048F066 来自 kernel32.WaitForDebugEvent
  0012DC68  |0012ED54-------------注意这里，FOLLOW IN DUMP，一会有用
  0012DC6C  |000003E8
  0012DC70  |00000004
  0012DC74  |00000000

  清除断点，重新下断BP WriteProcessMemory 运行，中断，看堆栈
  0012DB04 00493037  /CALL 到 WriteProcessMemory 来自 UnPackMe.00493031
  0012DB08 0000004C  |hProcess = 0000004C (窗口)
  0012DB0C 00427000  |Address = 427000-----------------------------OEP所在段
  0012DB10 003E4C50  |Buffer = 003E4C50----------------------写入段
  0012DB14 00001000  |BytesToWrite = 1000 (4096.)----------写入大小
  0012DB18 0012DC20  \pBytesWritten = 0012DC20


  在看数据窗口
  0012ED54  00000001
  0012ED58  00000B18
  0012ED5C  00000FE0
  0012ED60  80000001
  0012ED64  00000000
  0012ED68  00000000
  0012ED6C  004271B0  UnPackMe.004271B0---------------------------OEP
  0012ED70  00000002
  0012ED74  00000000
  0012ED78  004271B0  UnPackMe.004271B0
  0012ED7C  004271B0  UnPackMe.004271B0
  0012ED80  BAE32D64
  0012ED84  00000000
  0012ED88  BAE32D60

  我门现在来找写入的地方
  004271B0-427000=1b0
  1b0+003E4C50=3E4E00

  我门到这里去看看，Ctrl+G:3E4E00
  003E4E00  55 8B EC 6A FF 68 60 0E  U?j?`
  003E4E08  45 00 68 C8 92 42 00 64  E.h?B.d
  003E4E10  A1 00 00 00 00 50 64 89  ?...Pd

  我门将头两个字节55 8b改为EB FE，其实55 8B就是OEP的头两个字节
  改完后我门一步一步走，回到壳代码，ALT+F9
  CTRL+F9，F8，来到这里
  00491C9B 51             PUSH ECX
  00491C9C 8B55 08       MOV EDX,DWORD PTR SS:[EBP+8]
  00491C9F 52             PUSH EDX
  00491CA0 E8 48030000    CALL UnPackMe.00491FED------------------关键CALL，跟随
  00491CA5 83C4 0C       ADD ESP,0C---------------------------------------停在这里
  00491CA8 25 FF000000    AND EAX,0FF
  00491CAD 85C0          TEST EAX,EAX
  00491CAF 75 07          JNZ SHORT UnPackMe.00491CB8
  00491CB1 32C0          XOR AL,AL
  00491CB3 E9 2E030000    JMP UnPackMe.00491FE6

  跟随后CTRL+R找相关调用，发现有两个地方调用拉这里，我门双击第二个CALL，将他NOP掉，做完这些再来下断
  BP WaitForDebugEvent+5，运行中断，反汇编中跟随
  0048F04E DB7A F0       FSTP TBYTE PTR DS:[EDX-10]
  0048F051 A0 336168E8    MOV AL,BYTE PTR DS:[E8686133]
  0048F056 0300          ADD EAX,DWORD PTR DS:[EAX]
  0048F058 008B 95DCF5FF ADD BYTE PTR DS:[EBX+FFF5DC95],CL
  0048F05E FF52 FF       CALL DWORD PTR DS:[EDX-1]
  0048F061 15 E0304C00    ADC EAX,<&KERNEL32.WaitForDebugEvent>
  0048F066 85C0          TEST EAX,EAX--------------------------------------------新建EIP
  0048F068 0F84 64270000 JE UnPackMe.004917D2------------------------PATCH-----改为JMP 00401000
  0048F06E 8B85 FCFDFFFF MOV EAX,DWORD PTR SS:[EBP-204]
  0048F074 25 FF000000    AND EAX,0FF
  0048F079 85C0          TEST EAX,EAX

  将WaitForDebugEvent NOP掉并在0048f066新建EIP
  0048F068开始PATCH
  在00401000写入以下代码
  00401000 8105 6CED1200 0>ADD DWORD PTR DS:[12ED6C],1000
  0040100A 8105 78ED1200 0>ADD DWORD PTR DS:[12ED78],1000
  00401014 8105 7CED1200 0>ADD DWORD PTR DS:[12ED7C],1000
  0040101E 813D 7CED1200 0>CMP DWORD PTR DS:[12ED7C],UnPackMe.0044B000
  00401028  - 0F85 3FE00800 JNZ UnPackMe.0048F06D
  0040102E 68 28010000    PUSH 0b18
  00401033 E8 7195457C    CALL kernel32.DebugActiveProcessStop
  00401038 90             NOP-------------------------------------------放个断点

  然后回到12ed6c处

  0012ED54  00000001
  0012ED58  00000B18
  0012ED5C  00000FE0
  0012ED60  80000001
  0012ED64  00000000
  0012ED68  00000000
  0012ED6C  004271B0  UnPackMe.004271B0---------------------------改为00400000
  0012ED70  00000002
  0012ED74  00000000
  0012ED78  004271B0  UnPackMe.004271B0---------------------------改为00400000
  0012ED7C  004271B0  UnPackMe.004271B0---------------------------改为00400000
  0012ED80  BAE32D64
  0012ED84  00000000
  0012ED88  BAE32D60

  做完以上后，SHIFT+F9，中断，EAX=1说明一切正确，到这里已经完成了一半了
  回到OD，挂接那个名字不是红色的那个进程，F9，F12，将头两个字节该为55 8B

  004271B0 55             PUSH EBP-------------------------------OEP
  004271B1 8BEC          MOV EBP,ESP
  004271B3 6A FF          PUSH -1
  004271B5 68 600E4500    PUSH UnPackMe.00450E60
  004271BA 68 C8924200    PUSH UnPackMe.004292C8
  004271BF 64:A1 00000000  MOV EAX,DWORD PTR FS:[0]
  004271C5 50             PUSH EAX
  004271C6 64:8925 0000000>MOV DWORD PTR FS:[0],ESP
  004271CD 83C4 A8       ADD ESP,-58
  004271D0 53             PUSH EBX
  004271D1 56             PUSH ESI
  004271D2 57             PUSH EDI



  三。修复
  再开个OD ，用ARM PROCESS DETACH载入UNPACKME
  DONE!


Child process ID: 00000D08


Entry point: 004B3000


Original bytes: 60E8
  直接挂接D08，F9，F12，修改头两个字节为60 E8
  停在004B3000 >  60             PUSHAD
  004B3001 E8 00000000    CALL UnPackMe.004B3006
  004B3006 5D             POP EBP
  004B3007 50             PUSH EAX
  004B3008 51             PUSH ECX
  004B3009 0FCA          BSWAP EDX
  004B300B F7D2          NOT EDX
  004B300D 9C             PUSHFD

  现在可以想拖标准壳一样脱了，但这个只是为了找回正确的IAT，避开加密
  bp VirtualProtect
  运行到代码段后返回搜索命令PUSH 100
  向上翻把PUSH EBP改为RET
  BP CreateThread
  断下后返回，一路F8
  看到CALL ECX后进入就是OEP了，到达OEP后
  004271B0 FD             STD
  004271B1 1E             PUSH DS
  004271B2 37             AAA
  004271B3 91             XCHG EAX,ECX
  004271B4 57             PUSH EDI
  004271B5 FD             STD
  004271B6 BB F5ED95B3    MOV EBX,B395EDF5
  004271BB 333A          XOR EDI,DWORD PTR DS:[EDX]
  004271BD D7             XLAT BYTE PTR DS:[EBX+AL]
  004271BE DB9F 0995DBFB FISTP DWORD PTR DS:[EDI+FBDB9509]
  004271C4 A8 C5          TEST AL,0C5
  004271C6 BF 728D95DB    MOV EDI,DB958D72
  004271CB FB             STI

  OEP已经面目全非了，但不要紧，我门只需要真确的IAT
  回到先前的OD，来到IAT的其实位置，将前3个IAT的二进制复制下来
  在到第二个OD，大开内存，搜索刚才的二进制代码，将全部正确的IAT二进制代码复制到先前的OD中，
  此时就可以关掉第2个OD了。

  下面就要修复乱序了和策略代码了，打开ARMINLINE，填入IAT开始地址和大小，点寻回，稍等一会就OK了
  还有策略代码
  起点02980000
  大小20000
  点删除，OK

  好拉，现在可以DUMP了，LORDPE完全转存，IMPORT修复，运行，OK





--------------------------------------------------------------------------------
【经验总结】
  ................................................................
                  好好学习
                     天天向上

--------------------------------------------------------------------------------
【版权声明】: 本文原创于看雪技术论坛, 转载请注明作者并保持文章的完整, 谢谢!

                                                   2007年02月25日下午 03:09:47

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・7

免费・7

支持

最新回复 (24)
卡秋莎雪币： 144 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 57 回帖 424 粉丝 0 关注私信	卡秋莎 2 楼 ding li lai!! 2007-2-25 15:21 0
阿健雪币： 2054 活跃值： (297) 能力值： ( LV9，RANK：220 ) 在线值：发帖 30 回帖 323 粉丝 0 关注私信	阿健 5 3 楼好像有些简单,一些细节忽略掉了 2007-2-25 19:07 0
cxhcxh 雪币： 287 活跃值： (137) 能力值： ( LV8，RANK：130 ) 在线值：发帖 10 回帖 246 粉丝 0 关注私信	cxhcxh 3 4 楼打字好慢，本想附几张截图的结果弄不上来可能有写地方写的不够详细 2007-2-25 19:16 0
网络游龙雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 13 粉丝 0 关注私信	网络游龙 5 楼不错 Armadillo 2.51 - 3.xx DLL Stub -> Silicon Realms Toolworks的疑问 PEID0.94 Armadillo 2.51 - 3.xx DLL Stub -> Silicon Realms Toolworks 按FLY大侠的教程758K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4g2F1M7r3q4U0K9#2)9J5k6h3y4F1i4K6u0r3N6X3W2W2N6%4c8Z5M7X3g2S2k6q4)9J5k6b7`.`. ... rmadillo&page=1 1。首先要设置OllyDBG忽略除了“内存访问异常”和“异常范围”之外的其他异常选项 2。现在我们暂停在第一个内存异常处： 00999781 8900 mov dword ptr ds:[eax],eax 这里就不一样了 OD 载入后的入口是 0099B257 >/$ 55 PUSH EBP 0099B258 \|. 8BEC MOV EBP,ESP 0099B25A \|. 53 PUSH EBX 0099B25B \|. 8B5D 08 MOV EBX,DWORD PTR SS:[EBP+8] 0099B25E \|. 56 PUSH ESI 0099B25F \|. 8B75 0C MOV ESI,DWORD PTR SS:[EBP+C] 0099B262 \|. 57 PUSH EDI 和FLY大侠的完全不一样，用也试过用OD载过VA_X.dll和FLY的教程里的是一样停在00999781 8900 mov dword ptr ds:[eax],eax 二、Magic Jump 下断：HE GetModuleHandleA 如果硬件断点无法中断，可以Ctrl+G：GetModuleHandleA，在函数末尾设断 Shift+F9，注意看堆栈连续两次出来 000698E4 00990D97 /CALL 到 GetModuleHandleA 来自 00990D91 000698E8 009A4D68 \pModule = "kernel32.dll" 000698EC 009A5F58 ASCII "VirtualAlloc" 000698E4 00990DB4 /CALL 到 GetModuleHandleA 来自 00990DAE 000698E8 009A4D68 \pModule = "kernel32.dll" 000698EC 009A5F4C ASCII "VirtualFree" 后面就是一片空 N次过后 00068F98 00B226EA /CALL 到 GetModuleHandleA 来自 00B226E4 00068F9C 00000000 \pModule = NULL 无法找到 0006965C 00979A2D /CALL 到 GetModuleHandleA 来自 00979A27 00069660 00069798 \pModule = "kernel32.dll" 删硬件断点后 ALT+F9返回得到的是 00B226EA 68 007F0000 PUSH 7F00 00B226EF 53 PUSH EBX 00B226F0 8945 D8 MOV DWORD PTR SS:[EBP-28],EAX 00B226F3 FF15 B074B200 CALL DWORD PTR DS:[B274B0] ; USER32.LoadCursorA 00B226F9 8945 E0 MOV DWORD PTR SS:[EBP-20],EAX 00B226FC 8D45 C8 LEA EAX,DWORD PTR SS:[EBP-38] 00B226FF 50 PUSH EAX 00B22700 C745 E4 1000000>MOV DWORD PTR SS:[EBP-1C],10 00B22707 8975 EC MOV DWORD PTR SS:[EBP-14],ESI 00B2270A E8 AE160000 CALL 00B23DBD 00B2270F 33C9 XOR ECX,ECX 00B22711 66:3BC3 CMP AX,BX 00B22714 0F95C1 SETNE CL 00B22717 66:A3 48BBB300 MOV WORD PTR DS:[B3BB48],AX 00B2271D 8AC1 MOV AL,CL 00B2271F 5E POP ESI 00B22720 5B POP EBX 00B22721 C9 LEAVE 00B22722 C3 RETN 00B22723 55 PUSH EBP 00B22724 8BEC MOV EBP,ESP 00B22726 53 PUSH EBX 00B22727 8B5D 08 MOV EBX,DWORD PTR SS:[EBP+8] 00B2272A 56 PUSH ESI 00B2272B 8B75 0C MOV ESI,DWORD PTR SS:[EBP+C] 无法找到//Magic Jump！请大家帮忙解释一下是哪里的错！！！！由于DLL用的是ARM加壳所在太大1M论坛无法上传只要放在朋友的空间 d88K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3c8G2N6$3&6Q4x3X3f1#2z5s2y4V1i4K6u0W2j5$3!0E0i4K6u0r3j5$3g2J5N6q4)9J5c8X3q4J5L8g2)9J5k6i4u0S2M7R3`.`. 2007-2-25 20:38 0
cxhcxh 雪币： 287 活跃值： (137) 能力值： ( LV8，RANK：130 ) 在线值：发帖 10 回帖 246 粉丝 0 关注私信	cxhcxh 3 6 楼你这个是带ＫＥＹ的没有ＫＥＹ无法解码当然找不到拉 2007-2-25 20:54 0
邪秀才雪币： 250 活跃值： (11) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 311 粉丝 0 关注私信	邪秀才 2 7 楼最初由 cxhcxh* 发布* 做完以上后，SHIFT+F9，中断，EAX=1说明一切正确，到这里已经完成了一半了回到OD，挂接那个名字不是红色的那个进程，F9，F12，将头两个字节该为55 8B 004271B0 55 PUSH EBP-------------------------------OEP 004271B1 8BEC MOV EBP,ESP 004271B3 6A FF PUSH -1 004271B5 68 600E4500 PUSH UnPackMe.00450E60 004271BA 68 C8924200 PUSH UnPackMe.004292C8 004271BF 64:A1 00000000 MOV EAX,DWORD PTR FS:[0] 004271C5 50 PUSH EAX 004271C6 64:8925 0000000>MOV DWORD PTR FS:[0],ESP 004271CD 83C4 A8 ADD ESP,-58 004271D0 53 PUSH EBX 004271D1 56 PUSH ESI 004271D2 57 PUSH EDI 同样一个程序,到这里改成55 8B之后,代码就变成了红色了,而且DUMP 时,也不行了,想请教一下? 2007-3-6 22:38 0
wangshq397 雪币： 277 活跃值： (312) 能力值： ( LV9，RANK：330 ) 在线值：发帖 59 回帖 650 粉丝 0 关注私信	wangshq397 8 8 楼没有cc，难度太小了。 2007-3-9 13:08 0
llq 雪币： 194 活跃值： (162) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 25 粉丝 2 关注私信	llq 9 楼我有一个程序 ArmFP检测结果为:======== 29-04-2007 18:16:01 ======== D:\Sayatoo KaraTitleMaker\KaraTitleMaker.exe ★ 目标为Armadillo保护 Version 4.40 (Public Build) 保护系统级别为 (专业版) ◆所用到的保护模式有◆ 屏蔽调试器双进程模式【备份密钥设置】固定的备份密钥【程序压缩设置】较好/较慢地压缩方式【其它保护设置】屏蔽多份文件拷贝求助各位怎么解 2007-4-29 18:18 0
heerochen 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	heerochen 11 楼不错学习了 2007-8-14 22:33 0
MsyStudio 雪币： 200 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 38 粉丝 0 关注私信	MsyStudio 12 楼太经典啦～～顶！！ 2007-8-15 17:13 0
fswwl 雪币： 200 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	fswwl 13 楼好好学习天天向上 2007-8-15 22:52 0
panwenlong 雪币： 200 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 19 粉丝 0 关注私信	panwenlong 14 楼我一运行这个两进程转单进程,程序就报错,脱出来后也出错,不知道原因在哪? 2007-9-1 10:01 0
书读的少雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	书读的少 15 楼对于新手来说还是有点困难的最好做一个视频加语音教程那样的效果誓必事办公倍 2007-9-5 14:51 0
dbjkofok 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	dbjkofok 16 楼收藏.....日后可能用到 2007-9-14 14:45 0
kingalone 雪币： 201 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	kingalone 17 楼路过顶一下!!看看学习了 2007-10-1 13:42 0
wopasi 雪币： 184 活跃值： (47) 能力值： ( LV4，RANK：50 ) 在线值：发帖 40 回帖 229 粉丝 0 关注私信	wopasi 1 18 楼谁有兴趣试试这个 ======== 14-10-2007 13:19:11 ======== C:\Program Files\XQSJV6_Share\XQSJ2.exe ★ 目标为Armadillo保护保护系统级别为 (专业版) ◆所用到的保护模式有◆ 屏蔽调试器双进程模式使用输入表乱续模式使用策略代码衔接模式使用 Nanomites 处理模式使用防内存补丁保护模式【备份密钥设置】固定的备份密钥【程序压缩设置】最好/最慢地压缩方式【其它保护设置】 ★分离子进程★ 子进程标识号为 : 00001EA4 入口点为 : 0205C000 原始字节为 : 60E8 2007-10-14 13:25 0
laowanghai 雪币： 69 活跃值： (347) 能力值： ( LV9，RANK：550 ) 在线值：发帖 36 回帖 163 粉丝 11 关注私信	laowanghai 13 19 楼 00401000 8105 6CED1200 0>ADD DWORD PTR DS:[12ED6C],1000 0040100A 8105 78ED1200 0>ADD DWORD PTR DS:[12ED78],1000 00401014 8105 7CED1200 0>ADD DWORD PTR DS:[12ED7C],1000 0040101E 813D 7CED1200 0>CMP DWORD PTR DS:[12ED7C],UnPackMe.0044B000 请问44B000是怎么得到的了。麻烦楼主给出个详细解释。谢谢！！！ 2007-10-16 16:51 0
enjon 雪币： 196 活跃值： (46) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 108 粉丝 0 关注私信	enjon 20 楼牛人，谢谢分享，学习+支持 2007-10-17 15:40 0
abcbit 雪币： 199 活跃值： (51) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	abcbit 21 楼不错，学习了 2007-10-17 23:40 0
张峰雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 0 关注私信	张峰 22 楼好象要bp getmodulehandlea+5就可以找到断点了 2007-10-28 23:26 0
china斌斌雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 22 粉丝 0 关注私信	china斌斌 23 楼学习学习，正在研究脱穿山甲 2008-1-20 16:31 0
一六八雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 32 粉丝 0 关注私信	一六八 24 楼看这些脱壳的文章真是太干涩了,能不能讲一下为什么要这么作,知其然,又知其所以然,也话效果会更好.例如,这个地方会有用,为什么有用,用来干什么? 2008-5-16 15:49 0
青菜虫雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 13 粉丝 0 关注私信	青菜虫 25 楼 LZ 厉害啊,我弄了几天才刚刚搞定一个 Armadillo4.40 不过我现在问题又来了,试用版只能显示前30条数据\n\n请注册正式版这个问题处理不了 2008-5-17 22:11 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

cxhcxh

发帖

246

回帖

130

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (24)
卡秋莎雪币： 144 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 57 回帖 424 粉丝 0 关注私信	卡秋莎 2 楼 ding li lai!! 2007-2-25 15:21 0
阿健雪币： 2054 活跃值： (297) 能力值： ( LV9，RANK：220 ) 在线值：发帖 30 回帖 323 粉丝 0 关注私信	阿健 5 3 楼好像有些简单,一些细节忽略掉了 2007-2-25 19:07 0
cxhcxh 雪币： 287 活跃值： (137) 能力值： ( LV8，RANK：130 ) 在线值：发帖 10 回帖 246 粉丝 0 关注私信	cxhcxh 3 4 楼打字好慢，本想附几张截图的结果弄不上来可能有写地方写的不够详细 2007-2-25 19:16 0
网络游龙雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 13 粉丝 0 关注私信	网络游龙 5 楼不错 Armadillo 2.51 - 3.xx DLL Stub -> Silicon Realms Toolworks的疑问 PEID0.94 Armadillo 2.51 - 3.xx DLL Stub -> Silicon Realms Toolworks 按FLY大侠的教程758K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4g2F1M7r3q4U0K9#2)9J5k6h3y4F1i4K6u0r3N6X3W2W2N6%4c8Z5M7X3g2S2k6q4)9J5k6b7`.`. ... rmadillo&page=1 1。首先要设置OllyDBG忽略除了“内存访问异常”和“异常范围”之外的其他异常选项 2。现在我们暂停在第一个内存异常处： 00999781 8900 mov dword ptr ds:[eax],eax 这里就不一样了 OD 载入后的入口是 0099B257 >/$ 55 PUSH EBP 0099B258 \|. 8BEC MOV EBP,ESP 0099B25A \|. 53 PUSH EBX 0099B25B \|. 8B5D 08 MOV EBX,DWORD PTR SS:[EBP+8] 0099B25E \|. 56 PUSH ESI 0099B25F \|. 8B75 0C MOV ESI,DWORD PTR SS:[EBP+C] 0099B262 \|. 57 PUSH EDI 和FLY大侠的完全不一样，用也试过用OD载过VA_X.dll和FLY的教程里的是一样停在00999781 8900 mov dword ptr ds:[eax],eax 二、Magic Jump 下断：HE GetModuleHandleA 如果硬件断点无法中断，可以Ctrl+G：GetModuleHandleA，在函数末尾设断 Shift+F9，注意看堆栈连续两次出来 000698E4 00990D97 /CALL 到 GetModuleHandleA 来自 00990D91 000698E8 009A4D68 \pModule = "kernel32.dll" 000698EC 009A5F58 ASCII "VirtualAlloc" 000698E4 00990DB4 /CALL 到 GetModuleHandleA 来自 00990DAE 000698E8 009A4D68 \pModule = "kernel32.dll" 000698EC 009A5F4C ASCII "VirtualFree" 后面就是一片空 N次过后 00068F98 00B226EA /CALL 到 GetModuleHandleA 来自 00B226E4 00068F9C 00000000 \pModule = NULL 无法找到 0006965C 00979A2D /CALL 到 GetModuleHandleA 来自 00979A27 00069660 00069798 \pModule = "kernel32.dll" 删硬件断点后 ALT+F9返回得到的是 00B226EA 68 007F0000 PUSH 7F00 00B226EF 53 PUSH EBX 00B226F0 8945 D8 MOV DWORD PTR SS:[EBP-28],EAX 00B226F3 FF15 B074B200 CALL DWORD PTR DS:[B274B0] ; USER32.LoadCursorA 00B226F9 8945 E0 MOV DWORD PTR SS:[EBP-20],EAX 00B226FC 8D45 C8 LEA EAX,DWORD PTR SS:[EBP-38] 00B226FF 50 PUSH EAX 00B22700 C745 E4 1000000>MOV DWORD PTR SS:[EBP-1C],10 00B22707 8975 EC MOV DWORD PTR SS:[EBP-14],ESI 00B2270A E8 AE160000 CALL 00B23DBD 00B2270F 33C9 XOR ECX,ECX 00B22711 66:3BC3 CMP AX,BX 00B22714 0F95C1 SETNE CL 00B22717 66:A3 48BBB300 MOV WORD PTR DS:[B3BB48],AX 00B2271D 8AC1 MOV AL,CL 00B2271F 5E POP ESI 00B22720 5B POP EBX 00B22721 C9 LEAVE 00B22722 C3 RETN 00B22723 55 PUSH EBP 00B22724 8BEC MOV EBP,ESP 00B22726 53 PUSH EBX 00B22727 8B5D 08 MOV EBX,DWORD PTR SS:[EBP+8] 00B2272A 56 PUSH ESI 00B2272B 8B75 0C MOV ESI,DWORD PTR SS:[EBP+C] 无法找到//Magic Jump！请大家帮忙解释一下是哪里的错！！！！由于DLL用的是ARM加壳所在太大1M论坛无法上传只要放在朋友的空间 d88K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3c8G2N6$3&6Q4x3X3f1#2z5s2y4V1i4K6u0W2j5$3!0E0i4K6u0r3j5$3g2J5N6q4)9J5c8X3q4J5L8g2)9J5k6i4u0S2M7R3`.`. 2007-2-25 20:38 0
cxhcxh 雪币： 287 活跃值： (137) 能力值： ( LV8，RANK：130 ) 在线值：发帖 10 回帖 246 粉丝 0 关注私信	cxhcxh 3 6 楼你这个是带ＫＥＹ的没有ＫＥＹ无法解码当然找不到拉 2007-2-25 20:54 0
邪秀才雪币： 250 活跃值： (11) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 311 粉丝 0 关注私信	邪秀才 2 7 楼最初由 cxhcxh* 发布* 做完以上后，SHIFT+F9，中断，EAX=1说明一切正确，到这里已经完成了一半了回到OD，挂接那个名字不是红色的那个进程，F9，F12，将头两个字节该为55 8B 004271B0 55 PUSH EBP-------------------------------OEP 004271B1 8BEC MOV EBP,ESP 004271B3 6A FF PUSH -1 004271B5 68 600E4500 PUSH UnPackMe.00450E60 004271BA 68 C8924200 PUSH UnPackMe.004292C8 004271BF 64:A1 00000000 MOV EAX,DWORD PTR FS:[0] 004271C5 50 PUSH EAX 004271C6 64:8925 0000000>MOV DWORD PTR FS:[0],ESP 004271CD 83C4 A8 ADD ESP,-58 004271D0 53 PUSH EBX 004271D1 56 PUSH ESI 004271D2 57 PUSH EDI 同样一个程序,到这里改成55 8B之后,代码就变成了红色了,而且DUMP 时,也不行了,想请教一下? 2007-3-6 22:38 0
wangshq397 雪币： 277 活跃值： (312) 能力值： ( LV9，RANK：330 ) 在线值：发帖 59 回帖 650 粉丝 0 关注私信	wangshq397 8 8 楼没有cc，难度太小了。 2007-3-9 13:08 0
llq 雪币： 194 活跃值： (162) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 25 粉丝 2 关注私信	llq 9 楼我有一个程序 ArmFP检测结果为:======== 29-04-2007 18:16:01 ======== D:\Sayatoo KaraTitleMaker\KaraTitleMaker.exe ★ 目标为Armadillo保护 Version 4.40 (Public Build) 保护系统级别为 (专业版) ◆所用到的保护模式有◆ 屏蔽调试器双进程模式【备份密钥设置】固定的备份密钥【程序压缩设置】较好/较慢地压缩方式【其它保护设置】屏蔽多份文件拷贝求助各位怎么解 2007-4-29 18:18 0
heerochen 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	heerochen 11 楼不错学习了 2007-8-14 22:33 0
MsyStudio 雪币： 200 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 38 粉丝 0 关注私信	MsyStudio 12 楼太经典啦～～顶！！ 2007-8-15 17:13 0
fswwl 雪币： 200 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	fswwl 13 楼好好学习天天向上 2007-8-15 22:52 0
panwenlong 雪币： 200 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 19 粉丝 0 关注私信	panwenlong 14 楼我一运行这个两进程转单进程,程序就报错,脱出来后也出错,不知道原因在哪? 2007-9-1 10:01 0
书读的少雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	书读的少 15 楼对于新手来说还是有点困难的最好做一个视频加语音教程那样的效果誓必事办公倍 2007-9-5 14:51 0
dbjkofok 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	dbjkofok 16 楼收藏.....日后可能用到 2007-9-14 14:45 0
kingalone 雪币： 201 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	kingalone 17 楼路过顶一下!!看看学习了 2007-10-1 13:42 0
wopasi 雪币： 184 活跃值： (47) 能力值： ( LV4，RANK：50 ) 在线值：发帖 40 回帖 229 粉丝 0 关注私信	wopasi 1 18 楼谁有兴趣试试这个 ======== 14-10-2007 13:19:11 ======== C:\Program Files\XQSJV6_Share\XQSJ2.exe ★ 目标为Armadillo保护保护系统级别为 (专业版) ◆所用到的保护模式有◆ 屏蔽调试器双进程模式使用输入表乱续模式使用策略代码衔接模式使用 Nanomites 处理模式使用防内存补丁保护模式【备份密钥设置】固定的备份密钥【程序压缩设置】最好/最慢地压缩方式【其它保护设置】 ★分离子进程★ 子进程标识号为 : 00001EA4 入口点为 : 0205C000 原始字节为 : 60E8 2007-10-14 13:25 0
laowanghai 雪币： 69 活跃值： (347) 能力值： ( LV9，RANK：550 ) 在线值：发帖 36 回帖 163 粉丝 11 关注私信	laowanghai 13 19 楼 00401000 8105 6CED1200 0>ADD DWORD PTR DS:[12ED6C],1000 0040100A 8105 78ED1200 0>ADD DWORD PTR DS:[12ED78],1000 00401014 8105 7CED1200 0>ADD DWORD PTR DS:[12ED7C],1000 0040101E 813D 7CED1200 0>CMP DWORD PTR DS:[12ED7C],UnPackMe.0044B000 请问44B000是怎么得到的了。麻烦楼主给出个详细解释。谢谢！！！ 2007-10-16 16:51 0
enjon 雪币： 196 活跃值： (46) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 108 粉丝 0 关注私信	enjon 20 楼牛人，谢谢分享，学习+支持 2007-10-17 15:40 0
abcbit 雪币： 199 活跃值： (51) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	abcbit 21 楼不错，学习了 2007-10-17 23:40 0
张峰雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 0 关注私信	张峰 22 楼好象要bp getmodulehandlea+5就可以找到断点了 2007-10-28 23:26 0
china斌斌雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 22 粉丝 0 关注私信	china斌斌 23 楼学习学习，正在研究脱穿山甲 2008-1-20 16:31 0
一六八雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 32 粉丝 0 关注私信	一六八 24 楼看这些脱壳的文章真是太干涩了,能不能讲一下为什么要这么作,知其然,又知其所以然,也话效果会更好.例如,这个地方会有用,为什么有用,用来干什么? 2008-5-16 15:49 0
青菜虫雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 13 粉丝 0 关注私信	青菜虫 25 楼 LZ 厉害啊,我弄了几天才刚刚搞定一个 Armadillo4.40 不过我现在问题又来了,试用版只能显示前30条数据\n\n请注册正式版这个问题处理不了 2008-5-17 22:11 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复