【作者声明】：只是感兴趣，没有其他目的。失误之处敬请诸位大侠赐教
【调试环境】：Win2003、OllyDBD、PEiD、LordPE、ImportREC
【脱壳过程】：
           前两天有人问我能不能脱一个软件的壳，我试了下，发现是用的 Armadillo CopyM-II+Code Splicing+CC方式加的壳，按看雪论坛的教程走了下，脱壳成功。特写下来作一笔记共享。（附注：XP以下的系统就别看了，2000下不能这么脱）
        一、OEP
       下断BP WaitForDebugEvent，F9，暂停：
      

1 2 3

0012BCB8    005058BF  /CALL 到 WaitForDebugEvent 来自 MSEND.005058B9 0012BCBC    0012CD90  |pDebugEvent = 0012CD90 0012BCC0    000003E8  \Timeout = 1000. ms

         右击堆栈，0012CD90处跟随，然后进代码窗口005058BF ，Ctrl+F,搜索：OR EAX,FFFFFFF8

1	00505E8F   .  83C8 F8       OR EAX,FFFFFFF8

向上找到

1 2 3 4 5 6

00505E43   >  83BD CCF5FFFF>CMP DWORD PTR SS:[EBP-A34],0 00505E4A   .  0F8C A8020000 JL MSEND1.005060F8 00505E50   .  8B8D CCF5FFFF MOV ECX,DWORD PTR SS:[EBP-A34] 00505E56   .  3B0D 480F5400 CMP ECX,DWORD PTR DS:[540F48] 00505E5C   .  0F8D 96020000 JGE MSEND1.005060F8 00505E62   .  8B95 40F6FFFF MOV EDX,DWORD PTR SS:[EBP-9C0]

在00505E43这里下断点，然后把DWORD PTR SS:[EBP-A34]清0，此时数据窗口中：

1	0012CDA8  004AF0A0  MSEND1.004AF0A0

二、DUMP
现在继续向下找到这里：

1 2 3 4 5 6 7 8 9 10 11 12

00505F0D   .  51            PUSH ECX 00505F0E   .  E8 2F210000   CALL MSEND1.00508042 00505F13   .  83C4 0C       ADD ESP,0C 00505F16      25 FF000000   AND EAX,0FF //这里打补丁 00505F1B      85C0          TEST EAX,EAX 00505F1D      0F84 D5010000 JE MSEND1.005060F8 00505F23      837D D8 00    CMP DWORD PTR SS:[EBP-28],0 补丁代码： 00505F16      FF85 CCF5FFFF INC DWORD PTR SS:[EBP-A34] 00505F1C      C705 4C0F5400>MOV DWORD PTR DS:[540F4C],1 00505F26    ^ E9 18FFFFFF   JMP MSEND1.00505E43

然后去005060F8处下断，F9停下，继续打补丁：

1 2	005060F8      68 C0080000   PUSH 8C0 005060FD      E8 2B31347C   CALL kernel32.DebugActiveProcessStop

先保证设置你的OD为实时调试器，然后再运行一下。
这时你看到了什么？OD自动附加到了子进程里面了，并且停在OEP处，这时候就可以把Code Splicing段保存下来了，Alt+M打开内存窗口，找到类型=Priv 访问=RWE的区段，备份到文件。

1 2 3 4 5 6 7 8

内存映射, 条目 31  地址=039D0000  大小=00020000 (131072.)  属主=         039D0000 (自身)  区段=  类型=Priv 00021040  访问=RWE  初始访问=RWE

补上Code Splicing
此时LODEPE上场，先DUMP下主程序，然后从磁盘载入刚才保存的Code Splicing段，修正RVA后保存文件。

三、IAT修复
因为这个软件没有使用IAT乱序，所以和一般的方法没什么区别了，用OD打开，下断BP  DebugActiveProcess，再附加，IMR修复，一切都是“流水作业”（jingulong语）。

四、CC
这里偶不敢多言，前人早有论述，可惜看不懂，所以基本上是连蒙带猜的，好在CC不算多，改了几处INT3地址

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58

004ADF81    CC              INT3 004ADF82  ^ 76 B8           JBE SHORT dumpedm_.004ADF3C 004ADF84    60              PUSHAD 004ADF85    48              DEC EAX 004ADF86    8B0D 70FD4B00   MOV ECX,DWORD PTR DS:[4BFD70] 004ADF8C    A1 78FD4B00     MOV EAX,DWORD PTR DS:[4BFD78] 004ADF91    8B15 74FD4B00   MOV EDX,DWORD PTR DS:[4BFD74] 004ADF97    66:83FA 00      CMP DX,0 004ADF9B    CC              INT3 004ADF9C    2D C700C4F1     SUB EAX,F1C400C7 004ADFA1    0200            ADD AL,BYTE PTR DS:[EAX] 004ADFA3    33C0            XOR EAX,EAX 004ADFA5    C3              RETN 004ADFA6    66:83F9 3C      CMP CX,3C 004ADFAA    CC              INT3 004ADFAB    35 C7002A23     XOR EAX,232A00C7 004ADFB0    3036            XOR BYTE PTR DS:[ESI],DH 004ADFB2    C740 04 236B313>MOV DWORD PTR DS:[EAX+4],32316B23 004ADFB9    66:C740 08 3334 MOV WORD PTR DS:[EAX+8],3433 004ADFBF    33C0            XOR EAX,EAX 004ADFC1    C3              RETN 004ADFC2    66:83F9 32      CMP CX,32 004ADFC6    CC              INT3 004ADFC7    3E:C700 C3C0B1A>MOV DWORD PTR DS:[EAX],A6B1C0C3 004ADFCE    C740 04 C8EDBCF>MOV DWORD PTR DS:[EAX+4],FEBCEDC8 004ADFD5    66:C740 08 BAC3 MOV WORD PTR DS:[EAX+8],0C3BA 004ADFDB    33C0            XOR EAX,EAX 004ADFDD    C3              RETN   改为：   004ADF81    90              NOP 004ADF82    90              NOP 004ADF83    90              NOP 004ADF84    90              NOP 004ADF85    48              DEC EAX 004ADF86    8B0D 70FD4B00   MOV ECX,DWORD PTR DS:[4BFD70] 004ADF8C    A1 78FD4B00     MOV EAX,DWORD PTR DS:[4BFD78] 004ADF91    8B15 74FD4B00   MOV EDX,DWORD PTR DS:[4BFD74] 004ADF97    66:83FA 00      CMP DX,0 004ADF9B    75 09           JNZ SHORT dumpedm_.004ADFA6 004ADF9D    C700 C4F10200   MOV DWORD PTR DS:[EAX],2F1C4 004ADFA3    33C0            XOR EAX,EAX 004ADFA5    C3              RETN 004ADFA6    66:83F9 3C      CMP CX,3C 004ADFAA    75 16           JNZ SHORT dumpedm_.004ADFC2 004ADFAC    C700 2A233036   MOV DWORD PTR DS:[EAX],3630232A 004ADFB2    C740 04 236B313>MOV DWORD PTR DS:[EAX+4],32316B23 004ADFB9    66:C740 08 3334 MOV WORD PTR DS:[EAX+8],3433 004ADFBF    33C0            XOR EAX,EAX 004ADFC1    C3              RETN 004ADFC2    66:83F9 32      CMP CX,32 004ADFC6    75 16           JNZ SHORT dumpedm_.004ADFDE 004ADFC8    C700 C3C0B1A6   MOV DWORD PTR DS:[EAX],A6B1C0C3 004ADFCE    C740 04 C8EDBCF>MOV DWORD PTR DS:[EAX+4],FEBCEDC8 004ADFD5    66:C740 08 BAC3 MOV WORD PTR DS:[EAX+8],0C3BA 004ADFDB    33C0            XOR EAX,EAX 004ADFDD    C3              RETN

TEST=>OK.

[招生]科锐逆向工程师培训(2025年3月11日实地，远程教学同时开班, 第52期)！