我的ARM常用脱壳笔记
高中时候玩穿山甲整理的脱壳笔记.关于保护的中文解释,常用断点.多整理,是个好习惯.现在可能大家不需要了吧,就当给ARM区更新一下文章附件是ARM常用的工具
ArmInline0.96 最终版(中文编译版)
Armadillo Find Protected V1.8
ArmaDetach
Enjoy:对付CC专用工具
Armadillo
Debug-Blocker ----》阻止调试器----》忽略所有异常,隐藏好OD,用修复了Bug后的OD,推荐用flyDBG
CopyMem-II ----》双进程保护----》父子分离(脚本或者是手动),推荐脚本
Enable Import Table Elimination ----》IAT保护 ----》用ArmaDetach来再次再入加壳程序,修改Magic Jump得到正确的IAT
Enable Strategic Code Splicing ----》远地址跳----》Arminline
Enable Nanomites Processing ----》简称CC,就是把一些retn代码变成CC(INT型)----》Enjoy
Enable Memory-Patching Protections----》内存保护
寻找MAJ跳
1.xx--2.xx&单线程&标准方式
bp GetModuleHandleA
he GetModuleHandleA
bp GetModuleHandleA+5
he GetModuleHandleA+5
双进程
bp OpenMutexA
00401000 60 pushad
00401001 9C pushfd
00401002 68 A0FD1200 push XXXXXX ; ASCII "44C::DA47D45903"
00401007 33C0 xor eax,eax
00401009 50 push eax
0040100A 50 push eax
0040100B E8 E694A677 call KERNEL32.CreateMutexA
00401010 9D popfd
00401011 61 popad
00401012 - E9 8F9FA777
f9 运行 取消断点
避开anti
he OutputDebugStringA
OEP
BP CreateThread
非标准版
1.OEP
bp WaitForDebugEvent,F9
bp WriteProcessMemory F9
2.PATCH
he WaitForDebugEvent F9
搜索---全部常数---FFFFFFF8
inc dword ptr ds:
mov dword ptr ds:,1
jmp XXXXXXXX
and eax,0FF //在这里Patch!
[ 本帖最后由 寂寞的季节 于 2008-7-15 23:32 编辑 ] 开始晾家底啦!/:018 /:QQ3 /:QQ2 /:017 楼主高中就玩穿山甲了啊 厉害啊:loveliness: :loveliness: 向楼主学习一下。谢谢了!!!!!!!/:014 向 寂寞的季节 学习,提供这么好的东西给大家。谢谢。 先收藏了,虽然好多不懂的 好东西,收成备用,感谢楼主/:001 这个要收藏一个,经验只谈。 大公无私的人!欢迎,精神可嘉! 下载收藏谢谢。/:good