穿山甲的脱壳笔记[转自寂寞的季节]

小生我怕怕 · 发表于 2008-8-2 00:30

附件是ARM常用的工具
ArmInline0.96 最终版(中文编译版)
Armadillo Find Protected V1.8
ArmaDetach
Enjoy:对付CC专用工具

Armadillo

Debug-Blocker ----》阻止调试器----》忽略所有异常，隐藏好OD，用修复了Bug后的OD，推荐用flyDBG

CopyMem-II----》双进程保护----》父子分离(脚本或者是手动)，推荐脚本

Enable Import Table Elimination ----》IAT保护 ----》用ArmaDetach来再次再入加壳程序，修改Magic Jump得到正确的IAT

Enable Strategic Code Splicing----》远地址跳----》Arminline

Enable Nanomites Processing ----》简称CC，就是把一些retn代码变成CC(INT型)----》Enjoy

Enable Memory-Patching Protections----》内存保护

寻找MAJ跳

1.xx--2.xx&单线程&标准方式
bp GetModuleHandleA
he GetModuleHandleA
bp GetModuleHandleA+5
he GetModuleHandleA+5

双进程
bp OpenMutexA
0040100060 pushad
004010019C pushfd
0040100268 A0FD1200push XXXXXX ; ASCII "44C::DA47D45903"
0040100733C0 xor eax,eax
0040100950 push eax
0040100A50 push eax
0040100BE8 E694A677call KERNEL32.CreateMutexA
004010109D popfd
0040101161 popad
00401012- E9 8F9FA777

f9 运行取消断点

避开anti
he OutputDebugStringA

OEP
BP CreateThread

非标准版
1.OEP
bp WaitForDebugEvent，F9
bp WriteProcessMemory F9
2.PATCH
he WaitForDebugEvent F9
搜索---全部常数---FFFFFFF8
inc dword ptr ds:[YYYYYYYY]
mov dword ptr ds:[ZZZZZZZZ+4],1
jmp XXXXXXXX
and eax,0FF //在这里Patch！

石头学破解 · 发表于 2008-8-2 01:56

不懂就照着做就行了。

Hmily · 发表于 2008-8-2 02:01

寂寞大哥好象也在论坛里~ [s:42]

寂寞的季节 · 发表于 2008-8-2 12:11

兄弟抬举了好东西是要分享出来的呵呵何况都老掉牙的东西了

小生我怕怕 · 发表于 2008-8-2 13:05

引用第4楼寂寞的季节于2008-08-02 12:11发表的:
兄弟抬举了好东西是要分享出来的呵呵何况都老掉牙的东西了

老大这东西可以帮不少新手兄弟的,认识下,多学有好处无坏处

寂寞的季节 · 发表于 2008-8-2 13:15

ARM脱文5X后参考FLY的文章有了变化.

上面的几个工具应该是公开公布的关于ARM最新的工具了

jordanpz · 发表于 2008-8-4 14:20

下载了，谢谢。
希望楼主再接再历

askyer · 发表于 2008-8-4 15:12

相关脚本能否也放上来
譬如找OEP
双进程变单进程等

下载者 · 发表于 2008-9-11 15:22

提示: 作者被禁止或删除内容自动屏蔽

天下无雪 · 发表于 2009-1-4 22:07

写的实在太好了

帐号		自动登录	找回密码
密码			注册[Register]

下载者下载者当前离线好友阅读权限 0 听众最后登录 1970-1-1 头像被屏蔽	下载者发表于 2008-9-11 15:22 提示: 作者被禁止或删除内容自动屏蔽
下载者下载者当前离线好友阅读权限 0 听众最后登录 1970-1-1 头像被屏蔽
	回复支持举报

[分享] 穿山甲的脱壳笔记[转自寂寞的季节]