穿山甲Armadillo4.xx双进程模式手动脱壳
本帖最后由 boot 于 2022-10-21 03:37 编辑运行环境:
Win2003 x32、Win7 x64;
涉及工具:
Olly Mood、Scylla 0.98、Lord PE;
教程类型:
手动脱壳;
视频是否带有论坛水印:
是,记事本课件带有论坛网址;
是否讲解思路和原理:
否,演示通用思路;
是否为悬赏杀手:
否;
以下为图文内容:
穿山甲Armadillo 4.xx双进程模式手动脱壳
boot / 52hb.com
2022.10.21
============
前言:
- 双进程模式能阻断大部分脱壳机或者脚本,这个样本是双进程的,且没有硬件锁,能够快速手动脱壳。
- 前期已发布过高版本单进程+HWID手动过注册并脱壳的教程;今天额外补录低版本双进程(无HWID)手动脱壳的教程。
============
一、准备
1.查壳Armadillo 3.78 - 4.xx -> Silicon Realms Toolworks
2.留意进程双进程
3.建议WinXP x32或者Win2003 x32环境脱壳
4.OD1.1插件和异常设置如下
============
二、脱壳
1、合并进程:OpenMutexA中断一次
2、保存解码现场,汇编指令如下:
<00401000>
pushad
pushfd
push 12ddb8
xor eax,eax
push eax
push eax
call kernel32.CreateMutexA
popfd
popad
jmp Kernel32.OpenMutexA
3、新建EIP,并F9运行一次
4、撤消汇编修改:
5、处理返回时机与Magic_JMP
- 处理返回时机:GetModuleHandleA或者GetModuleHandleA+5中断(XP或者2003系统优先选择GetModuleHandleA+5),
并找到解码时机(提示:观察寄存器出现kernel32.dll后,即是返回时机)
- 处理Magic_JMP
- 修改这个Magic跳并在SALC指令附近下段,确保通过解码校验
- 撤消所做修改,防止程序检测
6、CODE段下断,F9到达OEP
============
三、不同工具修复并测试跨平台
WinXP x32或Win2003 x32: Scylla -OK;REC Imp - OK
Win7x64: Scylla - OK ;REC Imp - 失败
完
链接:
底版本能试用的用脱壳机最快 感谢大佬分享
感谢大佬分享 {:5_116:}感谢分享 终于学习上了 谢谢教程! 感谢大佬分享 果然x64dbg的东西更强大些么 感谢楼主分享