-
-
脱Armadillo学习笔记
-
发表于: 2005-11-2 17:34
-
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!! thx hacnho and fly !!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
我是看了 hacnho 大哥的教程重复了其中的过程,虽然不是英文(好像是德文),但是由于图解非常详细,我完成了crack,并且也有所收获,非常感谢 hacnho 大哥
AntiTracks 5.6.1
教程可以在hacnho大哥的主页下载到,我只是写点菜鸟随想 :)
1.首先我要说明的是自己用 PEiD 检测,结果是
Armadillo 1.xx - 2.xx -> Silicon Realms Toolworks [Overlay]
我原来以为是低版本的,现在看来我的PEiD标记不新,所以不能全信
(可以去hacnho的主页下载好的检测工具)
2.对于Code Splicing,由于我和hacnho图解上的不一样(也许是因为内存动态分配或者操作系统不同吧,不过我和fly大侠用的操作系统应该是一样的,呵呵,他写的东西我都能对照上),我也自己找了找,总结乐一下:
**************************************************
**到了OEP后,Alt+M ,点击上面的"访问"排序
**找到第一个 类型=Priv ,访问=RWE 的条目
**地址和大小就是啦,接下来就是ArmInline的工作乐:)
*************************************************
不知道有没有共性,希望大家指点
3.在获取IAT后用ImpREC时千万记住不要追踪修复(有前提的),无用的全部减切掉即可因为追踪后会出现如图的问题,看到没有,追踪后再减切会把有用的调用减去啦,就是说如果IAT是完整获得的,就不要画蛇添足啦
=====自己再来一次吧,换个版本==============
AntiTracks 5.9.3
http://www.download.com/Anti-Tracks/3000-2144_4-10448706.html?tag=lst-0-1
[*&*] he GetModuleHandleA
shift+F9
001265F4 00C6ABA5 /CALL 到 GetModuleHandleA 来自 00C6AB9F
001265F8 00126738 \pModule = "kernel32.dll"
---^---------^------
看到这两个地址在同一段就是返回时机,不记得是哪位大哥说的啦,抱歉呀
[*&*] hd GetModuleHandleA
Alt+F9
00C6ABBF FF15 E020C900 call near dword ptr ds:[C920E0] ; kernel32.LoadLibraryA
00C6ABC5 8B0D E4C9C900 mov ecx, dword ptr ds:[C9C9E4]
00C6ABCB 89040E mov dword ptr ds:[esi+ecx], eax
00C6ABCE A1 E4C9C900 mov eax, dword ptr ds:[C9C9E4]
00C6ABD3 391C06 cmp dword ptr ds:[esi+eax], ebx
00C6ABD6 - 0F84 31010090 je 90C6AD0D <==== jmp
00C6ABDC 33C9 xor ecx, ecx
00C6ABDE 8B07 mov eax, dword ptr ds:[edi]
00C6ABE0 3918 cmp dword ptr ds:[eax], ebx
[*&*] bp CreateThread
shift+F9
Ctrl+F9
Ctrl+F9
你会看到一段非常熟悉的代码,呵呵
我是认"RC"这个字符串的
00C8C377 C705 E079C900 C087C900 mov dword ptr ds:[C979E0], 0C987C0 ; ASCII "RC"
选中ret上面的
call near edi
F4 ,F7
好啦,到 OEP 乐,是401000
现在对付Code Splicing :)
**************************************************
**到了OEP后,Alt+M ,点击上面的"访问"排序
**找到第一个 类型=Priv ,访问=RWE 的条目
**地址和大小就是啦,接下来就是ArmInline的工作乐:)
*************************************************
我刚才说道哦,看图
OK ArmInline工作完乐,就用LordPE dumpfull
现在找AIT咯
随便找一个API,然后就可以看啦,如图
len = 00484FE8-004837FC+4=000017F0
用ImpREC 获取AIT 将无效的都减去
fixdump 就好啦!
只是爱好,大家学习
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!! thx hacnho and fly !!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!! thx hacnho and fly !!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
我是看了 hacnho 大哥的教程重复了其中的过程,虽然不是英文(好像是德文),但是由于图解非常详细,我完成了crack,并且也有所收获,非常感谢 hacnho 大哥
AntiTracks 5.6.1
教程可以在hacnho大哥的主页下载到,我只是写点菜鸟随想 :)
1.首先我要说明的是自己用 PEiD 检测,结果是
Armadillo 1.xx - 2.xx -> Silicon Realms Toolworks [Overlay]
我原来以为是低版本的,现在看来我的PEiD标记不新,所以不能全信
(可以去hacnho的主页下载好的检测工具)
2.对于Code Splicing,由于我和hacnho图解上的不一样(也许是因为内存动态分配或者操作系统不同吧,不过我和fly大侠用的操作系统应该是一样的,呵呵,他写的东西我都能对照上),我也自己找了找,总结乐一下:
**************************************************
**到了OEP后,Alt+M ,点击上面的"访问"排序
**找到第一个 类型=Priv ,访问=RWE 的条目
**地址和大小就是啦,接下来就是ArmInline的工作乐:)
*************************************************
不知道有没有共性,希望大家指点
3.在获取IAT后用ImpREC时千万记住不要追踪修复(有前提的),无用的全部减切掉即可因为追踪后会出现如图的问题,看到没有,追踪后再减切会把有用的调用减去啦,就是说如果IAT是完整获得的,就不要画蛇添足啦
=====自己再来一次吧,换个版本==============
AntiTracks 5.9.3
http://www.download.com/Anti-Tracks/3000-2144_4-10448706.html?tag=lst-0-1
[*&*] he GetModuleHandleA
shift+F9
001265F4 00C6ABA5 /CALL 到 GetModuleHandleA 来自 00C6AB9F
001265F8 00126738 \pModule = "kernel32.dll"
---^---------^------
看到这两个地址在同一段就是返回时机,不记得是哪位大哥说的啦,抱歉呀
[*&*] hd GetModuleHandleA
Alt+F9
00C6ABBF FF15 E020C900 call near dword ptr ds:[C920E0] ; kernel32.LoadLibraryA
00C6ABC5 8B0D E4C9C900 mov ecx, dword ptr ds:[C9C9E4]
00C6ABCB 89040E mov dword ptr ds:[esi+ecx], eax
00C6ABCE A1 E4C9C900 mov eax, dword ptr ds:[C9C9E4]
00C6ABD3 391C06 cmp dword ptr ds:[esi+eax], ebx
00C6ABD6 - 0F84 31010090 je 90C6AD0D <==== jmp
00C6ABDC 33C9 xor ecx, ecx
00C6ABDE 8B07 mov eax, dword ptr ds:[edi]
00C6ABE0 3918 cmp dword ptr ds:[eax], ebx
[*&*] bp CreateThread
shift+F9
Ctrl+F9
Ctrl+F9
你会看到一段非常熟悉的代码,呵呵
我是认"RC"这个字符串的
00C8C377 C705 E079C900 C087C900 mov dword ptr ds:[C979E0], 0C987C0 ; ASCII "RC"
选中ret上面的
call near edi
F4 ,F7
好啦,到 OEP 乐,是401000
现在对付Code Splicing :)
**************************************************
**到了OEP后,Alt+M ,点击上面的"访问"排序
**找到第一个 类型=Priv ,访问=RWE 的条目
**地址和大小就是啦,接下来就是ArmInline的工作乐:)
*************************************************
我刚才说道哦,看图
OK ArmInline工作完乐,就用LordPE dumpfull
现在找AIT咯
随便找一个API,然后就可以看啦,如图
len = 00484FE8-004837FC+4=000017F0
用ImpREC 获取AIT 将无效的都减去
fixdump 就好啦!
只是爱好,大家学习
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!! thx hacnho and fly !!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
受教了,
|
