首页
社区
课程
招聘
arm4.00.0053客户版主程序的从双进程到单进程转换的Scrip
发表于: 2005-4-15 22:30 7732

arm4.00.0053客户版主程序的从双进程到单进程转换的Scrip

2005-4-15 22:30
7732

//////////////////////////////////////////////////////////////
// arm4.00.0053客户版主程序的从双进程到单进程转换的Script自动运行脚本
// 本脚本完成双进程到单进程的自动转换和代码段自动修复功能
// 测试系统:winxpsp1
// 异常选项中去掉[忽略指定的异常范围],其余全部打勾
// 特别感谢Loveboom王子的帮助,感谢fly的测试。
// by fxyang
// 2005.4.15
//////////////////////////////////////////////////////////////

dbh

var address
gpa "OpenMutexA","kernel32.dll"
bp $RESULT
run

eoe code_1
code_1:
mov address,eip  //获取第一次PREFIX LOCK:异常地址
esto
cmp eip,address   //自动越过异常
ja begin
esto

//////////////////////////////////////////////////////////
//双进程到单进程的转换
//////////////////////////////////////////////////////////

begin:
  exec
    PUSHAD
    PUSH EDX
    push 0
    push 0
    CALL kernel32.CreateMutexA
    POPAD
    jmp kernel32.OpenMutexA
  ende

//上面的代码就是在Script中运行从双进程到单进程的转换

  bc $RESULT
  gpa "CreateThread","kernel32.dll"
  bp  $RESULT
  eob tmp1
  esto

tmp1:
bc $RESULT
sto
sto
var variant
mov variant,ebp
add variant,18
mov [variant],#04000000#
//修改API参数,让线程挂起来
rtu
sto
sto
mov eax,0
/*
修改下面的跳转,防止程序anti time
00497215  TEST EAX,EAX
00497217  JE SHORT Armadill.00497231
00497219  CALL DWORD PTR DS:[<&KERNEL32.GetTickCou>; kernel32.GetTickCount
0049721F  CMP EAX,DWORD PTR SS:[EBP-114]
00497225  JNB SHORT Armadill.00497231
00497227  PUSH 1
00497229  CALL DWORD PTR DS:[<&KERNEL32.Sleep>]    ; kernel32.Sleep
0049722F  JMP SHORT Armadill.0049720E

*/
//////////////////////////////////////////////////////////////////
//anti OutputDebugStringA 修复
//////////////////////////////////////////////////////////////////
var setc1

gpa "OutputDebugStringA","kernel32.dll"
mov address,0
mov setc1,$RESULT
bp  setc1
eob setcode1
run

setcode1:
inc address
mov [eax],#00000000#
cmp address,2
je setcode2
run

setcode2:
rtu
gpa "GetVersion","kernel32.dll"
bp $RESULT
eob tmp2
run

tmp2:
bc $RESULT
rtu
gpa "GetPrivateProfileStringA","kernel32.dll"
bp $RESULT
eob tmp3
run

tmp3:
bc $RESULT
rtu
gpa "sprintf","msvcrt.dll"
bp $RESULT
eob tmp4
run

tmp4:
rtu
bc $RESULT
rtr
sto
gpa "memset","msvcrt.dll"
bp $RESULT
eob lbl1
esto

lbl1:
rtu
rtr
sto
mov address,0
gpa "RtlLeaveCriticalSection","ntdll"
bp $RESULT
eob lbl7
run

lbl7:
inc address
cmp address,2
je lbl8
run

lbl8:
bc $RESULT
mov address,0
gpa "memset","msvcrt.dll"
bp $RESULT
eob lbl2
run

lbl2:
bc $RESULT
rtu
mov address,eip
add address,2af
bp address
eob lbl9
run

lbl9:
bc address
mov eax,0       // <--anti 1
///////////////////////////////////////////////////////////
//上面一段都是为了定位到代码解码前的双进程效验
/*
00EF7B7A  MOV EAX,DWORD PTR DS:[F123D0]
00EF7B7F  MOV AL,BYTE PTR DS:[EAX+3D57]
00EF7B85  MOV BYTE PTR SS:[EBP+FFFF9CCC],AL
00EF7B8B  MOVZX EAX,BYTE PTR SS:[EBP+FFFF9CCC]
00EF7B92  TEST EAX,EAX  //修改这个值为0
00EF7B94  JE 00EF7CB4  //这里必须跳
*/
///////////////////////////////////////////////////////////

gpa "VirtualProtect","kernel32.dll"
var x
mov x,$RESULT
bp x
eob ll1
run

ll1:
rtu
sto
gpa "memcpy","msvcrt"
bp $RESULT
eob code1
run

code1:
rtu
mov [0044bd00],#609C8B5C243081C3001040008D5BFC8B1331108D40043D00BC44007CF4909D61C3#
sub esp,4
mov [esp],eip
mov eip,0044bd00
eob exitc
run
/////////////////////////////////////////////////////////////////////////
//上面这段是修复代码段解码后由于双进程转换到单进程后父进程未参与解码,
//引起代码段未正确还原
//第一次的VirtualProtect函数正好修改了代码段的属性为可写,是修复的好机会
//到这里代码段的还原工作完成:)
/////////////////////////////////////////////////////////////////////////

exitc:
bc x
rtu
msg "代码段已正确还原,下面是IAT还原,到达OEP地址。请努力!"

pause

脚本中的标签是调试时随便起的,可能不规范,不想修改了请见谅。
本脚本很容易修改成arm4.0版的其他加壳程序的脱壳辅助


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 7
支持
分享
最新回复 (8)
雪    币: 2199
活跃值: (1975)
能力值: ( LV12,RANK:810 )
在线值:
发帖
回帖
粉丝
2
2005-4-15 22:33
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
3
辛苦  
2005-4-15 22:43
0
雪    币: 557
活跃值: (2303)
能力值: ( LV9,RANK:2130 )
在线值:
发帖
回帖
粉丝
4
原来没事就是......,明白了   
支持一下,
BTW:我也另一种脚本:一个脚本解码,一个脚本改双为单修复iat(这个又可以用来修复双进程标准壳).硬盘乱乱的,现在到哪里去了也不知道
对了,这个fxyang是不是那个flyfancy,是就在Q在打1不是就打2,我有问题想请教flyfancy
2005-4-15 23:01
0
雪    币: 301
活跃值: (300)
能力值: ( LV9,RANK:290 )
在线值:
发帖
回帖
粉丝
5
强人,支持
2005-4-15 23:10
0
雪    币: 2199
活跃值: (1975)
能力值: ( LV12,RANK:810 )
在线值:
发帖
回帖
粉丝
6
最初由 loveboom 发布
原来没事就是......,明白了
支持一下,
BTW:我也另一种脚本:一个脚本解码,一个脚本改双为单修复iat(这个又可以用来修复双进程标准壳).硬盘乱乱的,现在到哪里去了也不知道
对了,这个fxyang是不是那个flyfancy,是就在Q在打1不是就打2,我有问题想请教flyfancy


我打2
2005-4-16 07:16
0
雪    币: 603
活跃值: (617)
能力值: ( LV12,RANK:660 )
在线值:
发帖
回帖
粉丝
7
强,支持!
2005-4-16 08:39
0
雪    币: 383
活跃值: (786)
能力值: ( LV12,RANK:730 )
在线值:
发帖
回帖
粉丝
8
是代码段会不正确解码吗?以后要注意?,好在我没遇上这个,但数据段有呕,我手动把它清光光,我脱了的是 arm 4??,应该是修复好了吧,是那个 Sothink SWF Decompiler MX 2005a Build 50318,代码段倒没怎么见坏,就 CC 麻烦,但又很好猜,谢谢 fxyang 的Script! 我也乱写了一堆
2005-4-16 09:27
0
雪    币: 332
活跃值: (479)
能力值: ( LV9,RANK:330 )
在线值:
发帖
回帖
粉丝
9
建议:来一个Scrip收集贴,随时更新,可以置顶,由专人负责维护。
2005-4-16 13:07
0
游客
登录 | 注册 方可回帖
返回
//