我的ARM常用脱壳笔记

寂寞的季节

高中时候玩穿山甲整理的脱壳笔记.关于保护的中文解释,常用断点.多整理,是个好习惯.现在可能大家不需要了吧,就当给ARM区更新一下文章

附件是ARM常用的工具
ArmInline0.96 最终版(中文编译版)
Armadillo Find Protected V1.8
ArmaDetach
Enjoy:对付CC专用工具

Armadillo

Debug-Blocker                       ----》阻止调试器----》忽略所有异常，隐藏好OD，用修复了Bug后的OD，推荐用flyDBG

CopyMem-II                          ----》双进程保护----》父子分离(脚本或者是手动)，推荐脚本

Enable Import Table Elimination     ----》IAT保护   ----》用ArmaDetach来再次再入加壳程序，修改Magic Jump得到正确的IAT

Enable Strategic Code Splicing      ----》远地址跳  ----》Arminline

Enable Nanomites Processing         ----》简称CC，就是把一些retn代码变成CC(INT型)----》Enjoy

Enable Memory-Patching Protections  ----》内存保护


寻找MAJ跳


1.xx--2.xx&单线程&标准方式
bp GetModuleHandleA
he GetModuleHandleA
bp GetModuleHandleA+5
he GetModuleHandleA+5


双进程
bp OpenMutexA
00401000      60               pushad
00401001      9C               pushfd
00401002      68 A0FD1200      push XXXXXX                       ; ASCII "44C::DA47D45903"
00401007      33C0             xor eax,eax
00401009      50               push eax
0040100A      50               push eax
0040100B      E8 E694A677      call KERNEL32.CreateMutexA
00401010      9D               popfd
00401011      61               popad
00401012    - E9 8F9FA777           

f9 运行 取消断点

避开anti
he OutputDebugStringA

OEP
BP CreateThread

非标准版
1.OEP
bp WaitForDebugEvent，F9
bp WriteProcessMemory F9
2.PATCH
he WaitForDebugEvent F9
搜索---全部常数---FFFFFFF8
inc dword ptr ds:[YYYYYYYY]   
mov dword ptr ds:[ZZZZZZZZ+4],1
jmp XXXXXXXX  
and eax,0FF //在这里Patch！

[ 本帖最后由 寂寞的季节 于 2008-7-15 23:32 编辑 ]

xuhw

开始晾家底啦!/:018 /:QQ3 /:QQ2 /:017

傻人有傻福

楼主高中就玩穿山甲了啊 厉害啊:loveliness: :loveliness:

jsj731

向楼主学习一下。谢谢了！！！！！！！/:014

mojingtai

向 寂寞的季节 学习，提供这么好的东西给大家。谢谢。

superliao

先收藏了，虽然好多不懂的

凡人1234

好东西，收成备用，感谢楼主/:001

xingbing

这个要收藏一个，经验只谈。

ghost_xc

大公无私的人！欢迎，精神可嘉！

yayazhi

下载收藏谢谢。/:good