菜鸟手脱(穿山甲)Armadillo 3.05{glue}教程~新手老手也来看看把~图林茂密!!
本帖最后由 LShang 于 2012-3-2 10:43 编辑大家好~我又来了..经过一周多的学习和琢磨..终于把穿山甲Armadillo 3.05{glue}的壳子给脱了
真的..废了很大的劲才脱掉的..论坛里面对于这个壳子的详细教程也没有几个..所以小弟不才也来试着做图文教程把~
有错误和不对的地方请大牛们指出,不要留情哈, 好~~下面不废话, 开始教程:
第一步:
国际惯例FEID查壳, 这里查出来是Armadillo 1.xx - 2.xx -> Silicon Realms Toolworks,
但是大家不要被PEID迷惑了,因为穿山甲的壳子好像是对PEID有一个功能,可以误导人的(希望我没有理解错误)
所以这里我们接着用FI来查, 得出结果是 Armadillo 3.05{glue}, 跟PEID查的不一样哦,所以不要完全依靠PEID,
习惯一下用FI复查的习惯^^
第二步:
知道是什么壳子就好办事了, 直接OD载入, 隐藏OD,设置忽略所有异常..
在命令栏输入he GetModuleHandleA+5 - 回车 -Shift+F9, 然后继续按Shift+F9,大概是3-5次左右,你会发现里面有一次缓冲非常大,
当按Shift+F9的时候缓冲比前面几次都要大得多的时候就是返回时机了!!!(注意观察堆栈)
右键-断点-选择删除硬件断点~然后按ALT+F9返回~
第三步:
找到kerne132.LoadLibaryA下面的第一个je, 把je修改成jmp, 其他不要修改!
修改成jmp之后对着刚才修改的jmp那一行按下键盘上的回车,
回车完了之后会看到有2个东西,一个是jnz和jmp, 选中jmp这一个,按下键盘的F2下断点(或者右键-断点-切换)
然后按Shift+F9运行到这个位置, 然后再按一次按下键盘的F2取消断点(或者右键-断点-切换)
这个时候向上看,找到刚才我们修改的jmp那一行,选中他,右键-撤销修改!
第四步:
按下键盘的ALT+M进入内存映射,
找到开头为00401000的.txt一行,右键-设置内存访问断点, 然后按下SHIFT+F9运行~~
好拉~~运行之后就直接到达我们的OEP了
第五步:
选到第一行,右键-使用OD脱壳调试进程
选择方式1,然后就可以脱壳了..(也可以用LordPe来脱壳,都可以的)
好了~~再用PEID查一下:
然后再用FI反复查一次:
教程就先到这里了, 本人超级无敌大菜鸟,上周也在这里发了2个求助的帖子,哎..也没大牛出手指点我一下,
好不容易熬到脱成功了..表示激动啊..
下面轮到开始着手学习脱穿山甲DLL的壳子了..希望大牛们到时候多多指点我啊! 谢谢拉~~{:301_1003:}
哈哈 ~~ 觉得好的就打赏点CB拉~~~CB有木有~~CB有木有~~CB有木有~{:301_985:}
呵呵。。沙发。真是为我们菜鸟树立来一个学习榜样啊 写的很详细不错 不错啊 多多分享教程 分析得不错。
但是所谓的那个缓冲确实不好掌握这个度,还有别的方法可以脱的。
这个应该是穿山甲单进程的吧,LZ有机会去调试下双进程保护的标准或者非标准保护。
不过能脱穿山甲还是不错的,继续加油。{:301_993:} willJ 发表于 2012-3-2 10:37 static/image/common/back.gif
分析得不错。
但是所谓的那个缓冲确实不好掌握这个度,还有别的方法可以脱的。
这个应该是穿山甲单进程的 ...
{:301_987:}膜拜下大牛~~顺便提个问题哦 willJ 发表于 2012-3-2 10:37 static/image/common/back.gif
分析得不错。
但是所谓的那个缓冲确实不好掌握这个度,还有别的方法可以脱的。
这个应该是穿山甲单进程的 ...
是这样的,我正在脱一个游戏外挂的壳,外挂的主程序EXE文件已经脱了,也已经修复了,为什么还运行不起来呢?
这个外挂里面还有好多个Dll文件,我查了一下,发现也是加了穿山甲的壳的,请问是不是要把DLL脱了才可以运行起来呢?求解释~~谢谢啊
用PEID查DLL是显示有壳的,但是用FI查的话就显示没有哦..咋回事呢? 求解释~~谢谢啊~
有图有文的 就是好看·、 kaojian1989 发表于 2012-3-2 10:48 static/image/common/back.gif
是这样的,我正在脱一个游戏外挂的壳,外挂的主程序EXE文件已经脱了,也已经修复了,为什么还运行不起来呢?
...
可能是修复没有修复对吧 willJ 发表于 2012-3-2 11:08 static/image/common/back.gif
可能是修复没有修复对吧
如果EXE主程序修复对了,也可以运行的把? 不需要把DLL也脱了吗?