穿山甲Armadillo4.xx双进程模式手动脱壳

运行环境：
Win2003 x32、Win7 x64；
涉及工具：
Olly Mood、Scylla 0.98、Lord PE；
教程类型：
手动脱壳；
视频是否带有论坛水印：
是，记事本课件带有论坛网址；
是否讲解思路和原理：
否，演示通用思路；
是否为悬赏杀手：
否；

以下为图文内容：

                                                穿山甲Armadillo 4.xx双进程模式手动脱壳
                                                                        boot / 52hb.com
                                                                          2022.10.21
        ============
        前言：
        - 双进程模式能阻断大部分脱壳机或者脚本，这个样本是双进程的，且没有硬件锁，能够快速手动脱壳。
        - 前期已发布过高版本单进程+HWID手动过注册并脱壳的教程；今天额外补录低版本双进程（无HWID）手动脱壳的教程。
        ============
        一、准备
        1.查壳  Armadillo 3.78 - 4.xx -> Silicon Realms Toolworks
        2.留意进程  双进程
        3.建议WinXP x32或者Win2003 x32环境脱壳
        4.OD1.1插件和异常设置如下
        
        ============
        二、脱壳
        1、合并进程：OpenMutexA中断一次
        2、保存解码现场，汇编指令如下：
        <00401000>

        pushad
        pushfd
        push 12ddb8
        xor eax,eax
        push eax
        push eax
        call kernel32.CreateMutexA
        popfd
        popad
        jmp Kernel32.OpenMutexA
        
        
        3、新建EIP，并F9运行一次
        4、撤消汇编修改：
        5、处理返回时机与Magic_JMP
        
        - 处理返回时机:GetModuleHandleA或者GetModuleHandleA+5中断（XP或者2003系统优先选择GetModuleHandleA+5），
        
        并找到解码时机（提示：观察寄存器出现kernel32.dll后，即是返回时机）
        
        - 处理Magic_JMP
          - 修改这个Magic跳并在SALC指令附近下段，确保通过解码校验
         
          - 撤消所做修改，防止程序检测
        
               
        6、CODE段下断，F9到达OEP
        
        ============
        三、不同工具修复并测试跨平台
        WinXP x32或Win2003 x32: Scylla -OK  ;REC Imp - OK
        Win7  x64: Scylla - OK ;REC Imp - 失败
        
        完





链接：

底版本能试用的用脱壳机最快

感谢大佬分享

感谢大佬分享

感谢分享 终于学习上了

谢谢教程！

感谢大佬分享

果然x64dbg的东西更强大些么

感谢楼主分享