ARM6.04最小保护

寂寞的季节

【文章标题】: ARM6.04最小保护
【文章作者】: 寂寞的季节
【作者邮箱】: [email protected]
【下载地址】: 附件
【使用工具】: 看雪OD 、LordPE、ImportREC
【作者声明】: 只是感兴趣，没有其他目的。失误之处敬请诸位大侠赐教!
--------------------------------------------------------------------------------
【详细过程】
  一直没看见有ARM6.0的脱文,正好6.04破解发布,我就脱了一下.开始以为很容易,结果不是... 俺好笨.谢谢夜凉如水兄的耐心帮助
  

  bp GetModuleHandleA+5
  
  shift+f9 直到出现以下信息

1.   00139410   00E28AA5  /CALL 到 GetModuleHandleA 来自 00E28A9F
   
2.   00139414   00E5514C  \pModule = "kernel32.dll"
   
3.   00139418   00E56D84  ASCII "VirtualAlloc"
   
4.   
   
5.   
   
6.   00139410   00E28AC3  /CALL 到 GetModuleHandleA 来自 00E28ABD
   
7.   00139414   00E5514C  \pModule = "kernel32.dll"
   
8.   00139418   00E56D78  ASCII "VirtualFree"
   
9.   
   
10.   0013915C   00E0ADB1  /CALL 到 GetModuleHandleA 来自 00E0ADAB
    
11.   00139160   001392D8  \pModule = "kernel32.dll"
    
12.   00139164   00000000
    
13.   00139168   0045D398  NotePad.0045D398

复制代码

取消断点 ALT+F9

1. jnz short 00E1AE3A NOP掉   

复制代码

搜索:EB 03 D6 D6

  
下硬件执行断点 Shift+F9  删除断点
  
  再将上面nop地方恢复
  
  寻找OEP
  
  BP CreateThread
  Shift+F9 取消断点ALT+F9

1.   00E2658C    50              push    eax
   
2.   00E2658D    FF15 9032E600   call    dword ptr [E63290]               ; kernel32.CloseHandle
   
3.   00E26593    5E              pop     esi
   
4.   00E26594    5B              pop     ebx
   
5.   00E26595    8BE5            mov     esp, ebp
   
6.   00E26597    5D              pop     ebp
   
7.   00E26598    C3              retn

复制代码

F8一路向下


  
  LordPE dump进程
  
  ImportREC 输入OEP 10CC 获取输入表
  
  剪切无效函数就可以运行了

  
  
  
  
--------------------------------------------------------------------------------
【经验总结】
  感谢 夜凉如水兄的耐心帮助. 2楼是我的错误脱壳方法
  
--------------------------------------------------------------------------------
【版权声明】:  转载请注明作者并保持文章的完整, 谢谢!

[ 本帖最后由 寂寞的季节 于 2008-7-28 16:50 编辑 ]

寂寞的季节

曾经错误的方法
返回到这里

00E1ADB1    8B55 F4         mov     edx, dword ptr [ebp-C]
00E1ADB4    8B0D 3C30E700   mov     ecx, dword ptr [E7303C]
00E1ADBA    890491          mov     dword ptr [ecx+edx*4], eax
00E1ADBD    8B55 F4         mov     edx, dword ptr [ebp-C]
00E1ADC0    A1 3C30E700     mov     eax, dword ptr [E7303C]
00E1ADC5    833C90 00       cmp     dword ptr [eax+edx*4], 0
00E1ADC9    75 5C           jnz     short 00E1AE27
00E1ADCB    8B4D F8         mov     ecx, dword ptr [ebp-8]
00E1ADCE    8B51 08         mov     edx, dword ptr [ecx+8]
00E1ADD1    83E2 02         and     edx, 2
00E1ADD4    74 38           je      short 00E1AE0E

向上拉....


因为修改后回车直接跳到要下断的地方了,所以我就误以为那里是MAJ跳


下断完  撤销上面修改的 BP CreateThread 取消断点ALT+F9返回  同样F8一路向下  同样可以到达OEP

但是问题出现了,第一个api就不对 所以修复老失败的.


可以跟1楼的最后图片做下对比

小生我怕怕

学习下大牛的方法!

示申言舌

为什么我脱5.42或者6.04的时候一直找不到EB 03 D6 D6呢?

Sothink SWF Decompiler

http://www.sothink.com/product/flashdecompiler/index.htm

寂寞的季节

原帖由 示申言舌 于 2008-8-27 14:36 发表
为什么我脱5.42或者6.04的时候一直找不到EB 03 D6 D6呢?

Sothink SWF Decompiler

http://www.sothink.com/product/flashdecompiler/index.htm

Ctrl+b
EB 03 D6 D6
Ctrl+N

geae

原帖由 寂寞的季节 于 2008-7-28 16:48 发表
【文章标题】: ARM6.04最小保护
【文章作者】: 寂寞的季节
【作者邮箱】: [email protected]
【下载地址】: 附件
【使用工具】: 看雪OD 、LordPE、ImportREC
【作者声明】: 只是感兴趣，没有其他目的。失误之处敬请 ...

我照你的方法,找到OPE,转存,ImportREC 剪切无效指针之后还是不能运行...

哪里有错吗?

geae

ximo2006

5.X以上的版本都是把以前改jmp的所谓的magic jump改NOP,说实话,没发现6.04有什么特别,要说特别,就是加了个让区段名混乱而已.呵呵

enjon

楼主有没有说,6.4与之前的几个版本有什么不同之处

ohyeah521

全保护的，带key的，有可以用的key，怎么办？我试试找楼主的方法，没有搞定。/:018