首页
社区
课程
招聘
[原创]Armadillo CopyMem-ll +Debug-Blocker脱壳笔记
发表于: 2024-2-29 17:32 11835

[原创]Armadillo CopyMem-ll +Debug-Blocker脱壳笔记

2024-2-29 17:32
11835

本帖是关于Armadillo CopyMem-ll +Debug-Blocker的脱壳过程。在学习的过程中做了些笔记,如果笔记中有错误或者有遗漏的步骤,欢迎大家在评论区指出!


1.  先查壳

2.      载入程序下这个断点并F9运行


3.      取消这个断点,再换下另外一个断点bp WriteProcessMemoryF9运行

也带有真实的OEP004015AC

4.      再次取消这个断点,重新载入这个程序并下这个断点he WaitForDebugEvent, F9运行

取消这个断点,ALT+F9返回到用户,然后搜索常量(FFFFFFF8

双击第二个地址(005B03F1

5.      先来到这里,然后再找到005B038A这个地址清除其它的硬件断点并再这里下硬件断点就可以断在这个地址(如图)


要在这里复制这些代码总共8断代码

以这种形式记录下来

需要在这里patch

填入三段代码

然后再来到这个地址下硬件断点(需要先清除其它的硬件断点)

断在这个地址

打开LordPE,选择第2个进程,修复映像大小并转存

把转存好的文件真实的OEP填进去

保存文件。

6.      载入脱壳后的文件(脱壳后的文件还不能运行)

真实的入口点


[招生]系统0day安全班,企业级设备固件漏洞挖掘,Linux平台漏洞挖掘!

最后于 2024-3-10 21:48 被Tony2024编辑 ,原因: 上传了源程序
上传的附件:
收藏
免费 5
支持
分享
最新回复 (2)
雪    币: 5649
活跃值: (3767)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
建议上传样本
2024-3-3 01:18
0
雪    币: 690
活跃值: (1841)
能力值: ( LV9,RANK:250 )
在线值:
发帖
回帖
粉丝
3
时空穿越了,好像又回到那时蜕壳盛世。
2024-3-8 16:52
0
游客
登录 | 注册 方可回帖
返回
//