首页
社区
课程
招聘
[原创]菜鸟脱Armadillo CopyMem-II壳
发表于: 2006-2-20 08:35 7397

[原创]菜鸟脱Armadillo CopyMem-II壳

2006-2-20 08:35
7397

软件名称: 幼儿拼图识物
下载地址:  http://yingjia.hostrocket.com/jigsaw/index.htm
软件大小:  2.6 MB
软件语言:  中文
软件类别:  国内软件 / 共享版
应用平台:  Win9x/NT/2000/XP
简介: 通过这个软件不仅可以锻炼孩子的观察力、耐性、记忆力,而且还可以了解更多的事物。适合于3到10岁的儿童使用。
调试环境:Win2003、OllyDBG、PEiD、LordPE、ImportREC
作者声明:只是感兴趣,没有其他目的,失误之处请大侠多多赐教。由于ARM脱文较多,前面过程从略,要点在后面脱壳后的输入表修复。
脱壳过程:
一、寻找OEP和DUMP进程
下断BP WaitForDebugEvent,断下后堆栈如下:

0012DAA8   004E1DD7  /CALL 到 WaitForDebugEvent 来自 jigsaw.004E1DD1
0012DAAC   0012EB84  |pDebugEvent = 0012EB84
0012DAB0   000003E8  \Timeout = 1000. ms
0012EB8C  E4 0E 00 00 01 00 00 80  ?....?
0012EB94  00 00 00 00 00 00 00 00  ........
0012EB9C  EC F7 4A 00 02 00 00 00  祺J....
0012EBA4  00 00 00 00 EC F7 4A 00  ....祺J.
故oep=004AF7EC
004E23FA   > \83BD D0F5FFFF>CMP DWORD PTR SS:[EBP-A30],0 //清0
004E2401   .  0F8C A9020000 JL jigsaw.004E26B0
004E2407   .  8B8D D0F5FFFF MOV ECX,DWORD PTR SS:[EBP-A30]
004E240D   .  3B0D BCE75000 CMP ECX,DWORD PTR DS:[50E7BC]
004E2413   .  0F8D 97020000 JGE jigsaw.004E26B0
……
004E24CD   .  25 FF000000   AND EAX,0FF  //这里开始PATCH
004E24D2   .  85C0          TEST EAX,EAX

004E24CD      FF85 D0F5FFFF INC DWORD PTR SS:[EBP-A30]
004E24D3      C705 C0E75000>MOV DWORD PTR DS:[50E7C0],1
004E24DD    ^ E9 18FFFFFF   JMP jigsaw1.004E23FA
00401278  - FF25 28824B00   JMP DWORD PTR DS:[4B8228]
0040127E    8BC0            MOV EAX,EAX
00401280  - FF25 24824B00   JMP DWORD PTR DS:[4B8224]
00401286    8BC0            MOV EAX,EAX
00401288  - FF25 20824B00   JMP DWORD PTR DS:[4B8220]
0012DAC4    004C1BDB   /CALL 到 DebugActiveProcess 来自 jigsaw.004C1BD5
0012DAC8    00000F2C   \ProcessId = F2C

[招生]系统0day安全班,企业级设备固件漏洞挖掘,Linux平台漏洞挖掘!

收藏
免费 7
支持
分享
最新回复 (9)
雪    币: 319
活跃值: (2459)
能力值: ( LV12,RANK:980 )
在线值:
发帖
回帖
粉丝
2
支持一下:)
2006-2-20 09:15
0
雪    币: 233
活跃值: (130)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
3
支持!
2006-2-20 09:18
0
雪    币: 208
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
2006-2-20 10:55
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
5
加精华鼓励新人
2006-2-20 11:35
0
雪    币: 424
活跃值: (3503)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
6
不错,支 持 !
2006-2-20 19:24
0
雪    币: 222
活跃值: (40)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
7
支持+学习
2006-2-21 01:42
0
雪    币: 202
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
wdx
8
谢谢,学习中
2006-2-22 09:02
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
学习了,谢谢
2006-2-22 09:40
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
学习中!!!!!!!
2006-2-22 09:49
0
游客
登录 | 注册 方可回帖
返回
//