脱壳Armadillo 3.78 - 4.xx 单进程(专业版)输入表乱序、策略代码衔接

xuhw

【破文标题】脱壳Armadillo 3.78 - 4.xx 单进程(专业版)输入表乱序、策略代码衔接
【破文作者】浓咖啡
【作者邮箱】无
【作者主页】无
【破解工具】PEID、OD
【破解平台】XP
【软件名称】LogMeister
【软件大小】1961KB
【原版下载】http://www.logmeister.com/
【保护方式】穿山甲
【软件简介】英文软件
【破解声明】纯技术学习。
------------------------------------------------------------------------
【破解过程】一、PEID查壳：Armadillo 3.78 - 4.xx -> Silicon Realms Toolworks [Overlay]
二、Arma FP看：
C:\LogMeister\LogMeister.exe
▲ 目标经Armadillo保护
保护系统授权等级(专业版)
【程序所使用保护模式】
标准保护 或 最小保护模式
使用 输入表乱序 程序保护模式
使用 策略代码衔接 程序保护模式
【备份密钥设置】
不固定的备份密钥
【程序压缩设置】
最好/最慢地压缩方式
【其它保护设置】
▲ 版本号 4.48
三、载入OD中，
0059D000 >  60              pushad                入口
0059D001    E8 00000000     call    0059D006
0059D006    5D              pop     ebp
0059D007    50              push    eax
0059D008    51              push    ecx
0059D009    0FCA            bswap   edx
0059D00B    F7D2            not     edx
0059D00D    9C              pushfd
0059D00E    F7D2            not     edx
0059D010    0FCA            bswap   edx
0059D012    EB 0F           jmp     short 0059D023
0059D014    B9 EB0FB8EB     mov     ecx, EBB80FEB
0059D019    07              pop     es
0059D01A    B9 EB0F90EB     mov     ecx, EB900FEB
0059D01F    08FD            or      ch, bh
0059D021    EB 0B           jmp     short 0059D02E
0059D023    F2:             prefix repne:
.....
1、找OEP
因为是单进程，使用FLY脚本，在执行脚本时，程序会运行，点击“OK”，就可以跑到OEP。
004BD865    6A 60           push    60                               ; This is the OEP!  Found By: fly
004BD867    68 A0185200     push    005218A0
004BD86C    E8 23CAFFFF     call    004BA294
004BD871    BF 94000000     mov     edi, 94
004BD876    8BC7            mov     eax, edi
004BD878    E8 D3C2FFFF     call    004B9B50
004BD87D    8965 E8         mov     dword ptr [ebp-18], esp
004BD880    8BF4            mov     esi, esp
004BD882    893E            mov     dword ptr [esi], edi
004BD884    56              push    esi
004BD885    FF15 40030B01   call    dword ptr [10B0340]              ; kernel32.GetVersionExA
004BD88B    8B4E 10         mov     ecx, dword ptr [esi+10]
004BD88E    890D 88AD5400   mov     dword ptr [54AD88], ecx
004BD894    8B46 04         mov     eax, dword ptr [esi+4]
004BD897    A3 94AD5400     mov     dword ptr [54AD94], eax
004BD89C    8B56 08         mov     edx, dword ptr [esi+8]
004BD89F    8915 98AD5400   mov     dword ptr [54AD98], edx
... ...
OEP已经找到，004BD865。
2、处理策略代码衔接问题：
打开ArmInline v0.96，选LogMeister.exe进程。
代码拼接起点：179000    长度：20000  （你那里不一定是这个数，Alt+M找），“修补成功！”
3、处理输入表乱序问题：
在OD的数据窗口中，找函数起点为010B0008，终点10B0C7C。得到大小是，C74。还是在ArmInline v0.96中，目前IAT地址添：010B0008，长度：C74，0059D000，ITA新基址：0059D000。然后，点“寻回ITA基址”。就会“进程修补成功。”。
4、打开LordPE，Dump程序。
5、Import RS修复，ITA信息中，OEP：BD865，“自动搜索ITA”；添RVA：19D000，大小：C74，“获得输入信息”，“无效函数”---先“跟踪级别 1”，然后“剪切”无效函数。“修复抓取文件”在“dump.exe”上。OK！！！
6、PEID查看dump_.exe，Microsoft Visual C++ 7.0 [Debug]，运行一下，可以运行，没有了原来的“OK -Enter Key -Buy Now！”窗口了，哈哈！！至于里面的注册码破解，不在此说了。
四、善后优化
直接用工具吧！Resource Binder 2.1，方便！！！就算懒吧！脱壳后文件大小3504KB，优化后，3261KB。
收工！！！


------------------------------------------------------------------------
【破解总结】最重要的“工具”是Brain v n.X时尚版！！！
------------------------------------------------------------------------
【版权声明】严禁用于违法行经，否则后果自负！！！

何求

不错,做成视频语音动画更好,呵.

glts

支持下兄弟~~/:09

龙腾傲诀

支持，学习。。。。