Armadillo 3.78 - 4.xx -> Silicon Realms Toolworks 单进程

根据前辈“三人行”的教程

一、OD 载入，OD设置忽略所有的异常，用隐藏插件隐藏OD！
bp OpenMutexA 下断

Ctrl+G：00401000

00401000      60               pushad
00401001      9C               pushfd
00401002  68 54FD1200          push 0x12FD54                     ; ASCII "1380::DA94F139AC"
00401007      33C0             xor eax,eax
00401009      50               push eax
0040100A      50               push eax
0040100B      E8 E694A677      call KERNEL32.CreateMutexA
00401010      9D               popfd
00401011      61               popad
00401012    - E9 8F9FA777      jmp KERNEL32.OpenMutexA

F9运行 取消断点 ,Ctrl+G：00401000 撤消刚才的修改

二、避开Anti

he OutputDebugStringA

F9运行

中断2次！
选中%s%之类的字符，点右键－>二进制－>使用00填充

删除此断点！
三、Magic Jump，避开IAT加密
he GetModuleHandleA+5   F9下断

找到：010E81DD          /E9 48010000              jE 010E832A 处修改 jmp 010E832A

取消 GetModuleHandleA+5断点

往下拉，也可以这样做：Ctrl+F在当前位置查找命令： salc

010E8368    ^\E9 6FFCFFFF     jmp 010E7FDC
010E836D      EB 03           jmp short 010E8372 //下硬件断点，Shift+F9，断下后取消断点!
010E836F           D6                       salc
010E8370           D6                       salc

断下后，记得要撤消Magic Jump处的修改！

此时，打开内存镜像，在00401000段下断，Shift+F9直达OEP！

用LOrpe 脱壳 ,用IMport 查找iat CUT 无效的指针 修复脱壳的文件

修复后打开出现应用程序错误，要怎么解决呢，哪个大侠帮个忙指点下，谢谢了

原文件地址:http://pan.baidu.com/share/link?shareid=478618&uk=4026849600

脱壳后地址：http://pan.baidu.com/share/link?shareid=478622&uk=4026849600

修复后：http://pan.baidu.com/share/link?shareid=478625&uk=4026849600

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法