穿山甲的脱壳笔记[转自寂寞的季节]
附件是ARM常用的工具ArmInline0.96 最终版(中文编译版)
Armadillo Find Protected V1.8
ArmaDetach
Enjoy:对付CC专用工具
Armadillo
Debug-Blocker ----》阻止调试器----》忽略所有异常,隐藏好OD,用修复了Bug后的OD,推荐用flyDBG
CopyMem-II----》双进程保护----》父子分离(脚本或者是手动),推荐脚本
Enable Import Table Elimination ----》IAT保护 ----》用ArmaDetach来再次再入加壳程序,修改Magic Jump得到正确的IAT
Enable Strategic Code Splicing----》远地址跳----》Arminline
Enable Nanomites Processing ----》简称CC,就是把一些retn代码变成CC(INT型)----》Enjoy
Enable Memory-Patching Protections----》内存保护
寻找MAJ跳
1.xx--2.xx&单线程&标准方式
bp GetModuleHandleA
he GetModuleHandleA
bp GetModuleHandleA+5
he GetModuleHandleA+5
双进程
bp OpenMutexA
0040100060 pushad
004010019C pushfd
0040100268 A0FD1200push XXXXXX ; ASCII "44C::DA47D45903"
0040100733C0 xor eax,eax
0040100950 push eax
0040100A50 push eax
0040100BE8 E694A677call KERNEL32.CreateMutexA
004010109D popfd
0040101161 popad
00401012- E9 8F9FA777
f9 运行 取消断点
避开anti
he OutputDebugStringA
OEP
BP CreateThread
非标准版
1.OEP
bp WaitForDebugEvent,F9
bp WriteProcessMemory F9
2.PATCH
he WaitForDebugEvent F9
搜索---全部常数---FFFFFFF8
inc dword ptr ds:
mov dword ptr ds:,1
jmp XXXXXXXX
and eax,0FF //在这里Patch! 不懂就照着做就行了。 寂寞大哥好象也在论坛里~ 兄弟抬举了 好东西是要分享出来的 呵呵 何况都老掉牙的东西了 引用第4楼寂寞的季节于2008-08-02 12:11发表的:
兄弟抬举了 好东西是要分享出来的 呵呵 何况都老掉牙的东西了
老大这东西可以帮不少新手兄弟的,认识下,多学有好处无坏处 ARM脱文5X后参考FLY的文章 有了变化.
上面的几个工具应该是公开公布的关于ARM最新的工具了 下载了,谢谢。
希望楼主再接再历 相关脚本能否也放上来
譬如找OEP
双进程变单进程等 写的实在太好了
页:
[1]
2