-
-
[原创]Armadillo CopyMem-ll +Debug-Blocker脱壳笔记
-
发表于: 2024-2-29 17:32
-
本帖是关于Armadillo CopyMem-ll +Debug-Blocker的脱壳过程。在学习的过程中做了些笔记,如果笔记中有错误或者有遗漏的步骤,欢迎大家在评论区指出!
1. 先查壳
2. 载入程序下这个断点并F9运行
3. 取消这个断点,再换下另外一个断点bp WriteProcessMemory并F9运行
也带有真实的OEP(004015AC)
4. 再次取消这个断点,重新载入这个程序并下这个断点he WaitForDebugEvent, F9运行
取消这个断点,ALT+F9返回到用户,然后搜索常量(FFFFFFF8)
双击第二个地址(005B03F1)
5. 先来到这里,然后再找到005B038A这个地址清除其它的硬件断点并再这里下硬件断点就可以断在这个地址(如图)
要在这里复制这些代码总共8断代码
以这种形式记录下来
需要在这里patch
填入三段代码
然后再来到这个地址下硬件断点(需要先清除其它的硬件断点)
断在这个地址
打开LordPE,选择第2个进程,修复映像大小并转存
把转存好的文件真实的OEP填进去
保存文件。
6. 载入脱壳后的文件(脱壳后的文件还不能运行)
真实的入口点
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
最后于 2024-3-10 21:48
被Tony2024编辑
,原因: 上传了源程序
