手脱,某DNF外挂 穿山甲(Armadillo)6.X CopyMemII + Debug Blocker
本帖最后由 2666fff 于 2010-7-31 19:16 编辑只求脱壳破挂的现在就可以离开,因为这个壳脱壳机可以脱下。
录像60M,我也郁闷怎么这么大。。
文字版:http://www.52pojie.cn/viewthread.php?tid=55040&page=1
www.52pojie.cn
by:2666fff
-------------------------------------------
穿山甲6.60版 非标准双进程手脱。
<- 31-07-2010 12:26:10 - ->
C:\Documents and Settings\Administrator\桌面\Dnf香妃.exe
目标为Armadillo保护
!- 保护系统级别为 (专业版)
!-<所使用的保护模式>
屏蔽调试器
双进程模式
!- <备份密钥设置>
可变的备份钥匙
!- <目标程序压缩设置>
最好 / 最慢的压缩方式
!<其它保护设置>
关闭监视进程
版本号 6.60 19-05-2009
<- 共消耗时间 00时00分07秒672毫秒 ->
开始,OD用我给的这个比较好,其他的会出现错误。
ArmaDetach.exe 非常好的穿山甲脱壳辅助工具。
勾要去掉,因为这个版本上不适用。
Crypto call found:
Child process iD:
Entry point:
Original bytes:
OD一会要附加 250 进程。
OEP字节:558BEC6A
补完OEp后查看下输入表先。
无效的很多,证明输入表被擦出了。
记着最初的地址。
0000d000
即 0040d000
再开一个OD
这次选中Debug-Blocker,同样去掉勾
Child process iD:
Entry point:
Original bytes:
这次我们是要找到完整的IAT所以,需要处理magic jmp
下硬件写入断点。
shift+f9
暂停第一次,继续运行。直至0040d000等出现东西。
这样就可以了,开始找magic jmp,先取消硬件断点。
F8单步。
这里就是magic jmp,跟之前版本不一样,下硬件执行断点。
结束进程,重新载入。
OD突然结束,擦
修改过OEp后,直接运行。
magic jmp 改为 jmp
换回第一个OD,然后找到IAT的结束位置,按住shift,点击鼠标左键,也就是全选整个IAT
0040d3dc就是IAT结束了,再进入第二个OD,在此处下硬件写入断点。
运行,哦,删掉之前断下的。
出现完整的IAT数据了,先转到0040d0000,然后按住shift,点击鼠标左键。
二进制全部复制。
进入第一个OD,选中全部IAT,二进制粘贴。
出现红色的,证明我们修改过了。
打开UIF
进程ID: 250(好ID!)
起始 :00401000
终止:00642000
新的IAT VA,我们自己选个区段放进去,我们选SFX段:00482000
开始修复,完成了。
IR,lodepe,开始脱壳。
全部有效,修复脱过的。
运行试试。
OK!
------------------------------------
录像下载:
http://u.115.com/file/f5de2322af
教程所用OD下载:
http://tuts4you.com/request.php?553 呵呵 终于等到了~
拿走慢慢研究 谢谢了,以后我不能在依赖脱壳机了 支持喔 顶你了~~ 非常不错 虽然网上有好多穿山甲手脱教程不过楼主能自己研究来真的蛮厉害了 支持了学习了 我要暴 他菊花。 支持一下 双进程,非标准。
好教程,收藏下,回家下载学习。 好强大,楼主牛