-
-
未解决 [求助]关于Armadillo CopyMem-ll +Debug-Blocker的脱壳问题
-
发表于: 2024-2-25 21:52
-
先查壳
首先下这个断点bp WaitForDebugEvent并F9运行
取消这个断点换下另外一个断点bp WriteProcessMemory并 F9运行
并且找到了真实的OEP(在数据窗口中)
4. 重新载入这个程序,换下另外一个断点he WaitForDebugEvent 并F9运行
5. 到了这里就ALT+F9返回。并搜索常量
到达这里
双击005B03F1这个地址进入到这里,并找到这个地址设置硬件断点就可以断在这个地址(如下图)
6. 找到这里(如下图)
并写入这几段代码
7. 然后跳到这个地址并设置硬件断点断在这个地址(如下图)
8. 用LordPE选中第2个进程,修正映像大小并转存
把修复完的程序修改它的入口点并保存
9. 用OD载入这个修复完的程序,并找到这个call计算RVA和size
RVA 4F2120->F211C
size
4F2F6C-> F3004
F3004- F211C=EE8
10. 在跳过加密,修改Magic Jump的时候就出现了些问题
用OD再一次载入未脱壳的程序,bp DebugActiveProcess并F9运行
再开启一个OD,用OD附加这个子进程。载入之后,ALT+F9返回
并修改入口点的值
修改完之后下这个断点BP OpenMutexA并F9运行
到了这里OD就提示说程序已被挂起,这是什么原因啊,求大神有什么解决方案。
[招生]系统0day安全班,企业级设备固件漏洞挖掘,Linux平台漏洞挖掘!
|
|
|---|---|
