首页
社区
课程
招聘
[求助]请教Armadillo CopyMem-II+Import Elimination组合的处理
发表于: 2007-2-9 13:02 3810

[求助]请教Armadillo CopyMem-II+Import Elimination组合的处理

2007-2-9 13:02
3810
    CopyMem-II加壳的程序无法用OllDbg直接调试子进程,所以只能通过Patch解码子进程区块然后转储,而这个时候子进程已经走过了Magic Jump,即使事后用OllyDbg附加也无法跳过IAT的加密。
    ArmInLine可以直接Rebase并识别部分的API,但是总有一部分无法恢复。
    虽然可以在父进程DebugActiveProcess的时候用OllyDbg拦截,但是外壳每次生成的调用指令地址都不一样(当然API先后顺序是一样的),即使在这种情况下避开Magic Jump,但是由于代码页面没有解码,无法定位和修复IAT,也不可能用ArmInLine自动处理。
    不知道修复这部分输入表有没有什么有效的办法?
    例子程序如IE Password。
   
    http://www.thegrideon.com/internetpass.html

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (2)
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
2
试试dilloDIE.V1.6
无CC的话没有太大难度,论坛有CopyMem-II教程
2007-2-9 13:18
0
雪    币: 207
活跃值: (10)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
3
最初由 fly 发布
试试dilloDIE.V1.6
无CC的话没有太大难度,论坛有CopyMem-II教程

DilloDie对机器依赖性比较强,不过解析出来的API可以参考,但是顺序与ArmInLine的不一样。
论坛上的CopyMem-II中提到这个问题的修复的好像只有machenglin大虾的一篇,方法是直接转移原始乱序IAT到新的进程里面修复,但是方法似乎有局限性,对我提到的这个例子就不太适用。
2007-2-9 13:38
0
游客
登录 | 注册 方可回帖
返回
//