脱Armadillo 3.78 - 4.xx到最后一步无发下断的难题。
小弟近来脱一个穿山甲的壳peid查为:Armadillo 3.78 - 4.xx -> Silicon Realms Toolworks,
具体保护方式如下:
★ 目标为Armadillo保护
Version 4.40.0250 (Custom Build)
保护系统级别为 (专业版)
◆所用到的保护模式有◆
屏蔽调试器
双进程模式
使用策略代码衔接模式
使用 Nanomites 处理模式
使用防内存补丁保护模式
【备份密钥设置】
固定的备份密钥
【程序压缩设置】
最好/最慢地压缩方式
【其它保护设置】
使用 Digital River 版本密钥
先用有用的key写补丁注册,接下来脱壳:
1、下断bp OpenMutexA,转单进程
2、下断he OutputDebugStringA,避开Anti
3、下断he GetModuleHandleA+5,Magic Jump,避开IAT加密
4、下断he GetTickCount,解除时间校验
5、下断bp CreateThread,找OEP
前面一切顺利,但是到了最后一步下断bp CreateThread找OEP的时候,却无法下断!
下断点bp CreateThread,Shift+F9,没有断下来到了下面红色的代码:
00CAB3AB 8B0CB1 mov ecx, dword ptr
00CAB3AE 33C8 xor ecx, eax
00CAB3B0 338D A0D5FFFF xor ecx, dword ptr
00CAB3B6 51 push ecx
00CAB3B7 FFB5 D8D5FFFF push dword ptr
00CAB3BD E8 41310000 call 00CAE503
00CAB3C2 83C4 0C add esp, 0C
00CAB3C5 8B85 A4D5FFFF mov eax, dword ptr
00CAB3CB 40 inc eax
00CAB3CC 8985 A4D5FFFF mov dword ptr , eax
00CAB3D2 8B85 D8D5FFFF mov eax, dword ptr
00CAB3D8 05 00100000 add eax, 1000
00CAB3DD 8985 D8D5FFFF mov dword ptr , eax
00CAB3E3^ E9 1AFFFFFF jmp 00CAB302
00CAB3E8 8B85 C8D5FFFF mov eax, dword ptr
00CAB3EE 25 FF0F0000 and eax, 0FFF
再调试软件就挂了,不知道谁遇到过这样的情况,老大们支点招/:010 关键在于"使用防内存补丁保护模式"!!!看看是否反你的ArmInline.exe工具使用. 注意是否为COPYMEM II 原帖由 xuhw 于 2008-3-16 23:27 发表 https://www.chinapyg.com/images/common/back.gif
关键在于"使用防内存补丁保护模式"!!!看看是否反你的ArmInline.exe工具使用.
原来这样,怪不得用内存断点大法断不下来,那么ArmInline.exe怎么使用?怎么解决?继续求教 却COPYMEM II 哈原来是你小子,居然用马甲,干嘛不用自己的ID呢? 原帖由 glts 于 2008-3-17 10:58 发表 https://www.chinapyg.com/images/common/back.gif
注意是否为COPYMEM II
原来版主的才是关键,没注意到是COPYMEM II,怪不得程序飞了。我重新来过,哈哈
页:
[1]