Armadillo脱壳知识和方法大全

时间:2018-05-11 07:55:36
【文件属性】:

文件名称:Armadillo脱壳知识和方法大全

文件大小:9KB

文件格式:TXT

更新时间:2018-05-11 07:55:36

脱壳

Armadillo脱壳知识和方法大全 近日对Armadillo壳很感兴趣,缘于它的多种组合的变化,但仔细看来,其保护的解决方法又有相对固定。方法无外乎那么几种脱壳方法(当然排除有key和cc),本人在本论坛已对标准壳的脱壳方法发贴,但后来有所更新,干脆总结在一块吧,以方便大家。大家可以复制下来,放在手边,脱壳时按步骤来。我还是一小鸟,同大家一样在逐渐成长中,有不对的地方和不成熟的地方,望大家批评指正,共同进步。 一、基本知识: 该壳有如下保护: (1)Debug-Blocker(阻止调试器)--解决方法就是忽略所有异常,隐藏好OD,如果加载时,老出错,就多换几个OD试试。 (2)CopyMem-II(双进程保护)---解决方法是:用手动或者脚本使双变单。 (3) Enable Import Table Elimination(IAT保护) –解决方法是用工具ArmaDetach再次载入加壳程序,记下子进程ID,用另一OD载入,利用断点GetModuleHandleA,找到Magic Jump,修改Magic Jump,得到正确的IAT。 (4)Enable Strategic Code Splicing(远地址跳) ,解决方法就是用Arminline工具。 (5) Enable Nanomites Processing(简称CC),就是把一些retn代码变成CC(INT型),解决方法:用Arminline工具或Enjoy工具。 (6)Enable Memory-Patching Protections(内存保护) 二、脱此类壳常用的断点:


网友评论