网站 › ≮ 软件脱壳 ≯ › ARM6.04最小保护

寂寞的季节 发表于 2008-7-28 16:48:44

ARM6.04最小保护

【文章标题】: ARM6.04最小保护
【文章作者】: 寂寞的季节
【作者邮箱】: [email protected]
【下载地址】: 附件
【使用工具】: 看雪OD 、LordPE、ImportREC
【作者声明】: 只是感兴趣，没有其他目的。失误之处敬请诸位大侠赐教!
--------------------------------------------------------------------------------
【详细过程】
一直没看见有ARM6.0的脱文,正好6.04破解发布,我就脱了一下.开始以为很容易,结果不是... 俺好笨.谢谢夜凉如水兄的耐心帮助


bp GetModuleHandleA+5

shift+f9 直到出现以下信息00139410   00E28AA5/CALL 到 GetModuleHandleA 来自 00E28A9F
00139414   00E5514C\pModule = "kernel32.dll"
00139418   00E56D84ASCII "VirtualAlloc"


00139410   00E28AC3/CALL 到 GetModuleHandleA 来自 00E28ABD
00139414   00E5514C\pModule = "kernel32.dll"
00139418   00E56D78ASCII "VirtualFree"

0013915C   00E0ADB1/CALL 到 GetModuleHandleA 来自 00E0ADAB
00139160   001392D8\pModule = "kernel32.dll"
00139164   00000000
00139168   0045D398NotePad.0045D398取消断点 ALT+F9
jnz short 00E1AE3A NOP掉   搜索:EB 03 D6 D6


下硬件执行断点 Shift+F9删除断点

再将上面nop地方恢复

寻找OEP

BP CreateThread
Shift+F9 取消断点ALT+F900E2658C    50            push    eax
00E2658D    FF15 9032E600   call    dword ptr                ; kernel32.CloseHandle
00E26593    5E            pop   esi
00E26594    5B            pop   ebx
00E26595    8BE5            mov   esp, ebp
00E26597    5D            pop   ebp
00E26598    C3            retnF8一路向下



LordPE dump进程

ImportREC 输入OEP 10CC 获取输入表

剪切无效函数就可以运行了





--------------------------------------------------------------------------------
【经验总结】
感谢 夜凉如水兄的耐心帮助. 2楼是我的错误脱壳方法

--------------------------------------------------------------------------------
【版权声明】:转载请注明作者并保持文章的完整, 谢谢!

[ 本帖最后由 寂寞的季节 于 2008-7-28 16:50 编辑 ]

寂寞的季节 发表于 2008-7-28 16:50:02

曾经错误的方法
返回到这里

00E1ADB1    8B55 F4         mov   edx, dword ptr
00E1ADB4    8B0D 3C30E700   mov   ecx, dword ptr
00E1ADBA    890491          mov   dword ptr , eax
00E1ADBD    8B55 F4         mov   edx, dword ptr
00E1ADC0    A1 3C30E700   mov   eax, dword ptr
00E1ADC5    833C90 00       cmp   dword ptr , 0
00E1ADC9    75 5C         jnz   short 00E1AE27
00E1ADCB    8B4D F8         mov   ecx, dword ptr
00E1ADCE    8B51 08         mov   edx, dword ptr
00E1ADD1    83E2 02         and   edx, 2
00E1ADD4    74 38         je      short 00E1AE0E

向上拉....


因为修改后回车直接跳到要下断的地方了,所以我就误以为那里是MAJ跳


下断完撤销上面修改的 BP CreateThread 取消断点ALT+F9返回同样F8一路向下同样可以到达OEP

但是问题出现了,第一个api就不对 所以修复老失败的.


可以跟1楼的最后图片做下对比

小生我怕怕 发表于 2008-8-4 17:36:26

学习下大牛的方法!

示申言舌 发表于 2008-8-27 14:36:48

为什么我脱5.42或者6.04的时候一直找不到EB 03 D6 D6呢?

Sothink SWF Decompiler

http://www.sothink.com/product/flashdecompiler/index.htm

寂寞的季节 发表于 2008-8-27 19:48:37

原帖由 示申言舌 于 2008-8-27 14:36 发表 https://www.chinapyg.com/images/common/back.gif
为什么我脱5.42或者6.04的时候一直找不到EB 03 D6 D6呢?

Sothink SWF Decompiler

http://www.sothink.com/product/flashdecompiler/index.htm

Ctrl+b
EB 03 D6 D6
Ctrl+N

geae 发表于 2008-8-29 10:55:46

原帖由 寂寞的季节 于 2008-7-28 16:48 发表 https://www.chinapyg.com/images/common/back.gif
【文章标题】: ARM6.04最小保护
【文章作者】: 寂寞的季节
【作者邮箱】: [email protected]
【下载地址】: 附件
【使用工具】: 看雪OD 、LordPE、ImportREC
【作者声明】: 只是感兴趣，没有其他目的。失误之处敬请 ...

我照你的方法,找到OPE,转存,ImportREC 剪切无效指针之后还是不能运行...

哪里有错吗?

geae 发表于 2008-8-29 10:59:11

ximo2006 发表于 2008-9-19 15:00:37

5.X以上的版本都是把以前改jmp的所谓的magic jump改NOP,说实话,没发现6.04有什么特别,要说特别,就是加了个让区段名混乱而已.呵呵

enjon 发表于 2008-10-4 21:52:52

楼主有没有说,6.4与之前的几个版本有什么不同之处

ohyeah521 发表于 2008-10-18 09:38:43

全保护的怎么办？

全保护的，带key的，有可以用的key，怎么办？我试试找楼主的方法，没有搞定。/:018

查看完整版本: ARM6.04最小保护