-
-
[原创]菜鸟脱Armadillo CopyMem-II壳
-
发表于:
2006-2-20 08:35
7397
-
[原创]菜鸟脱Armadillo CopyMem-II壳
软件名称: 幼儿拼图识物
下载地址: http://yingjia.hostrocket.com/jigsaw/index.htm
软件大小: 2.6 MB
软件语言: 中文
软件类别: 国内软件 / 共享版
应用平台: Win9x/NT/2000/XP
简介: 通过这个软件不仅可以锻炼孩子的观察力、耐性、记忆力,而且还可以了解更多的事物。适合于3到10岁的儿童使用。
调试环境:Win2003、OllyDBG、PEiD、LordPE、ImportREC
作者声明:只是感兴趣,没有其他目的,失误之处请大侠多多赐教。由于ARM脱文较多,前面过程从略,要点在后面脱壳后的输入表修复。
脱壳过程:
一、寻找OEP和DUMP进程
下断BP WaitForDebugEvent,断下后堆栈如下:
0012DAA8 004E1DD7 /CALL 到 WaitForDebugEvent 来自 jigsaw.004E1DD1
0012DAAC 0012EB84 |pDebugEvent = 0012EB84
0012DAB0 000003E8 \Timeout = 1000. ms
0012EB8C E4 0E 00 00 01 00 00 80 ?....?
0012EB94 00 00 00 00 00 00 00 00 ........
0012EB9C EC F7 4A 00 02 00 00 00 祺J....
0012EBA4 00 00 00 00 EC F7 4A 00 ....祺J.
故oep=004AF7EC
004E23FA > \83BD D0F5FFFF>CMP DWORD PTR SS:[EBP-A30],0 //清0
004E2401 . 0F8C A9020000 JL jigsaw.004E26B0
004E2407 . 8B8D D0F5FFFF MOV ECX,DWORD PTR SS:[EBP-A30]
004E240D . 3B0D BCE75000 CMP ECX,DWORD PTR DS:[50E7BC]
004E2413 . 0F8D 97020000 JGE jigsaw.004E26B0
……
004E24CD . 25 FF000000 AND EAX,0FF //这里开始PATCH
004E24D2 . 85C0 TEST EAX,EAX
004E24CD FF85 D0F5FFFF INC DWORD PTR SS:[EBP-A30]
004E24D3 C705 C0E75000>MOV DWORD PTR DS:[50E7C0],1
004E24DD ^ E9 18FFFFFF JMP jigsaw1.004E23FA
00401278 - FF25 28824B00 JMP DWORD PTR DS:[4B8228]
0040127E 8BC0 MOV EAX,EAX
00401280 - FF25 24824B00 JMP DWORD PTR DS:[4B8224]
00401286 8BC0 MOV EAX,EAX
00401288 - FF25 20824B00 JMP DWORD PTR DS:[4B8220]
0012DAC4 004C1BDB /CALL 到 DebugActiveProcess 来自 jigsaw.004C1BD5
0012DAC8 00000F2C \ProcessId = F2C
[招生]系统0day安全班,企业级设备固件漏洞挖掘,Linux平台漏洞挖掘!