-
-
[求助]请教Armadillo CopyMem-II+Import Elimination组合的处理
-
发表于:
2007-2-9 13:02
3809
-
[求助]请教Armadillo CopyMem-II+Import Elimination组合的处理
CopyMem-II加壳的程序无法用OllDbg直接调试子进程,所以只能通过Patch解码子进程区块然后转储,而这个时候子进程已经走过了Magic Jump,即使事后用OllyDbg附加也无法跳过IAT的加密。
ArmInLine可以直接Rebase并识别部分的API,但是总有一部分无法恢复。
虽然可以在父进程DebugActiveProcess的时候用OllyDbg拦截,但是外壳每次生成的调用指令地址都不一样(当然API先后顺序是一样的),即使在这种情况下避开Magic Jump,但是由于代码页面没有解码,无法定位和修复IAT,也不可能用ArmInLine自动处理。
不知道修复这部分输入表有没有什么有效的办法?
例子程序如IE Password。
http://www.thegrideon.com/internetpass.html
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课