[求助]Armadillo 6.0X 脱壳疑难-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[求助]Armadillo 6.0X 脱壳疑难

发表于: 2008-12-11 07:48 7282

[求助]Armadillo 6.0X 脱壳疑难

wjtwsd

2008-12-11 07:48

7282

一程序困扰我多日,非外挂！！！
peid查壳为：
Armadillo V5.40 -> Silicon Realms Toolworks * Sign.By.fly * 20080214 *
exeinfope 0.0.2.1查壳为：
Armadillo 6.0x (exe) 32bit  -  www.siliconrealms.com *ACM
***************************************************************************
Armadillo_Find_Protected_V1.3汉化版检查为:
★ 目标为Armadillo保护
保护系统级别为 (专业版)
◆所用到的保护模式有◆
屏蔽调试器
双进程模式
使用输入表乱续模式
使用策略代码衔接模式
使用 Nanomites 处理模式
使用防内存补丁保护模式
【备份密钥设置】
固定的备份密钥
【程序压缩设置】
较好/较慢地压缩方式
【其它保护设置】
使用 eSellerate 版本密钥
*************************************************************
Armadillo_Find_Protected_V1.8汉化版检查为:
!- 目标为Armadillo保护
!- 保护系统级别为 (专业版)
!- <所用到的保护模式有>
屏蔽调试器
双进程模式
防止内存补丁模式
!- <备份密钥设置>
可变的备份钥匙
!- <目标程序压缩设置>
较好 / 较慢的压缩方式
!- <其它保护设置>
!- 版本号: 5.42 20-02-2008
!- 共使用的时间 00h 00m 01s 735ms
************************************************************************
!- Protected Armadillo
Protection system (Professional)
!- <Protection Options>
Debug-Blocker
CopyMem-II
Enable Memory-Patching Protections
!- <Backup Key Options>
Variable Backup Keys
!- <Compression Options>
Better/Slower Compression
!- <Other Options>
!- 版本号: 5.42 2!- Elapsed Time 00h 00m 01s 671ms
***************************************************************************************
od载入，先用脚本转成单进程，下断bp GetModuleHandleA+9 处理iat加密。shift+f9运行N次。堆栈中出现如下信息：
00129468  |01775823  RETURN to 01775823 from kernel32.GetModuleHandleA
0012946C  |017A1BA8  ASCII "kernel32.dll"
00129470  |017A2B24  ASCII "VirtualFree"
00129474  |5353B7CA
00129478  |00A35370  yuanban.00A35370
0012947C  |00000000
再shift+f9一次，寄存器内容如下：
EAX 00129330 ASCII "kernel32.dll"
ECX 00129330 ASCII "kernel32.dll"
EDX 00000000
EBX 00000001
ESP 001291B0
EBP 001291B0
ESI 00A35370 yuanban.00A35370
EDI 00000000
EIP 7C80B6AA kernel32.7C80B6AA
取消断点，ALT+F9返回。
*************************************************************************
返回到此：
01758064 8B55 F4       MOV EDX,DWORD PTR SS:[EBP-C]
01758067 8B0D 84EF7A01 MOV ECX,DWORD PTR DS:[17AEF84]
0175806D 890491       MOV DWORD PTR DS:[ECX+EDX*4],EAX
01758070 8B55 F4       MOV EDX,DWORD PTR SS:[EBP-C]
01758073 A1 84EF7A01    MOV EAX,DWORD PTR DS:[17AEF84]
01758078 833C90 00    CMP DWORD PTR DS:[EAX+EDX*4],0
0175807C 75 5C          JNZ SHORT 017580DA
0175807E 8B4D F8       MOV ECX,DWORD PTR SS:[EBP-8]
01758081 8B51 08       MOV EDX,DWORD PTR DS:[ECX+8]
01758084 83E2 02       AND EDX,2
01758087 74 38          JE SHORT 017580C1
01758089 B8 0F000000    MOV EAX,0F
0175808E C1E0 02       SHL EAX,2
01758091 8B0D 04CB7A01 MOV ECX,DWORD PTR DS:[17ACB04]          ; yuanban.00A35370
01758097 8B15 04CB7A01 MOV EDX,DWORD PTR DS:[17ACB04]          ; yuanban.00A35370
0175809D 8B35 04CB7A01 MOV ESI,DWORD PTR DS:[17ACB04]          ; yuanban.00A35370
017580A3 8B5E 18       MOV EBX,DWORD PTR DS:[ESI+18]
017580A6 335A 10       XOR EBX,DWORD PTR DS:[EDX+10]
017580A9 331C01       XOR EBX,DWORD PTR DS:[ECX+EAX]
017580AC 83E3 10       AND EBX,10
017580AF F7DB          NEG EBX
017580B1 1BDB          SBB EBX,EBX
017580B3 F7DB          NEG EBX
017580B5 0FB6C3       MOVZX EAX,BL
017580B8 85C0          TEST EAX,EAX
017580BA 75 05          JNZ SHORT 017580C1
017580BC  ^ E9 1BFFFFFF    JMP 01757FDC
017580C1 8D8D C8FEFFFF LEA ECX,DWORD PTR SS:[EBP-138]
017580C7 51             PUSH ECX
017580C8 FF15 88F07901 CALL DWORD PTR DS:[179F088]             ; kernel32.LoadLibraryA
017580CE 8B55 F4       MOV EDX,DWORD PTR SS:[EBP-C]
017580D1 8B0D 84EF7A01 MOV ECX,DWORD PTR DS:[17AEF84]
017580D7 890491       MOV DWORD PTR DS:[ECX+EDX*4],EAX
017580DA 8B55 F4       MOV EDX,DWORD PTR SS:[EBP-C]
017580DD A1 84EF7A01    MOV EAX,DWORD PTR DS:[17AEF84]
017580E2 833C90 00    CMP DWORD PTR DS:[EAX+EDX*4],0
017580E6 75 05          JNZ SHORT 017580ED                   //把这里NOP掉！！！！！！！！！！！！！！！！
017580E8  ^ E9 EFFEFFFF    JMP 01757FDC
017580ED C785 BCFEFFFF 0>MOV DWORD PTR SS:[EBP-144],0
017580F7 C785 C0FEFFFF 0>MOV DWORD PTR SS:[EBP-140],0
01758101 8B4D F8       MOV ECX,DWORD PTR SS:[EBP-8]
01758104 8B51 04       MOV EDX,DWORD PTR DS:[ECX+4]
01758107 8995 C4FEFFFF MOV DWORD PTR SS:[EBP-13C],EDX
0175810D EB 0F          JMP SHORT 0175811E
0175810F 8B85 C4FEFFFF MOV EAX,DWORD PTR SS:[EBP-13C]
01758115 83C0 0C       ADD EAX,0C
01758118 8985 C4FEFFFF MOV DWORD PTR SS:[EBP-13C],EAX
0175811E 8B8D C4FEFFFF MOV ECX,DWORD PTR SS:[EBP-13C]
01758124 8339 00       CMP DWORD PTR DS:[ECX],0
01758127 74 11          JE SHORT 0175813A
01758129 8B95 C0FEFFFF MOV EDX,DWORD PTR SS:[EBP-140]
0175812F 83C2 01       ADD EDX,1
01758132 8995 C0FEFFFF MOV DWORD PTR SS:[EBP-140],EDX
01758138  ^ EB D5          JMP SHORT 0175810F
0175813A 33C9          XOR ECX,ECX
0175813C 8B85 C0FEFFFF MOV EAX,DWORD PTR SS:[EBP-140]
01758142 BA 04000000    MOV EDX,4
01758147 F7E2          MUL EDX
01758149 0F90C1       SETO CL
0175814C F7D9          NEG ECX
0175814E 0BC8          OR ECX,EAX
01758150 51             PUSH ECX
01758151 E8 59050300    CALL 017886AF
01758156 83C4 04       ADD ESP,4
01758159 8985 7CFDFFFF MOV DWORD PTR SS:[EBP-284],EAX
0175815F 8B45 F4       MOV EAX,DWORD PTR SS:[EBP-C]
01758162 8B0D 7CEF7A01 MOV ECX,DWORD PTR DS:[17AEF7C]
01758168 8B95 7CFDFFFF MOV EDX,DWORD PTR SS:[EBP-284]
0175816E 891481       MOV DWORD PTR DS:[ECX+EAX*4],EDX
01758171 33C9          XOR ECX,ECX
01758173 8B85 C0FEFFFF MOV EAX,DWORD PTR SS:[EBP-140]
01758179 BA 04000000    MOV EDX,4
0175817E F7E2          MUL EDX
01758180 0F90C1       SETO CL
01758183 F7D9          NEG ECX
01758185 0BC8          OR ECX,EAX
01758187 51             PUSH ECX
01758188 E8 22050300    CALL 017886AF
0175818D 83C4 04       ADD ESP,4
01758190 8985 78FDFFFF MOV DWORD PTR SS:[EBP-288],EAX
01758196 8B45 F4       MOV EAX,DWORD PTR SS:[EBP-C]
01758199 8B0D 80EF7A01 MOV ECX,DWORD PTR DS:[17AEF80]
0175819F 8B95 78FDFFFF MOV EDX,DWORD PTR SS:[EBP-288]
017581A5 891481       MOV DWORD PTR DS:[ECX+EAX*4],EDX
017581A8 8B45 F8       MOV EAX,DWORD PTR SS:[EBP-8]
017581AB 8B48 04       MOV ECX,DWORD PTR DS:[EAX+4]
017581AE 898D C4FEFFFF MOV DWORD PTR SS:[EBP-13C],ECX
017581B4 EB 1E          JMP SHORT 017581D4
017581B6 8B95 C4FEFFFF MOV EDX,DWORD PTR SS:[EBP-13C]
017581BC 83C2 0C       ADD EDX,0C
017581BF 8995 C4FEFFFF MOV DWORD PTR SS:[EBP-13C],EDX
017581C5 8B85 BCFEFFFF MOV EAX,DWORD PTR SS:[EBP-144]
017581CB 83C0 01       ADD EAX,1
017581CE 8985 BCFEFFFF MOV DWORD PTR SS:[EBP-144],EAX
017581D4 8B8D C4FEFFFF MOV ECX,DWORD PTR SS:[EBP-13C]
017581DA 8339 00       CMP DWORD PTR DS:[ECX],0
017581DD 0F84 47010000 JE 0175832A
017581E3 68 00010000    PUSH 100
017581E8 8D95 B8FDFFFF LEA EDX,DWORD PTR SS:[EBP-248]
017581EE 52             PUSH EDX
017581EF 8B85 C4FEFFFF MOV EAX,DWORD PTR SS:[EBP-13C]
017581F5 8B08          MOV ECX,DWORD PTR DS:[EAX]
017581F7 51             PUSH ECX
017581F8 E8 13A5FDFF    CALL 01732710
017581FD 83C4 0C       ADD ESP,0C
01758200 8B15 04CB7A01 MOV EDX,DWORD PTR DS:[17ACB04]          ; yuanban.00A35370
01758206 A1 04CB7A01    MOV EAX,DWORD PTR DS:[17ACB04]
0175820B 8B4A 14       MOV ECX,DWORD PTR DS:[EDX+14]
0175820E 3348 18       XOR ECX,DWORD PTR DS:[EAX+18]
01758211 8B15 04CB7A01 MOV EDX,DWORD PTR DS:[17ACB04]          ; yuanban.00A35370
01758217 334A 10       XOR ECX,DWORD PTR DS:[EDX+10]
0175821A A1 04CB7A01    MOV EAX,DWORD PTR DS:[17ACB04]
0175821F 3348 6C       XOR ECX,DWORD PTR DS:[EAX+6C]
01758222 898D 6CFDFFFF MOV DWORD PTR SS:[EBP-294],ECX
01758228 8D8D B8FDFFFF LEA ECX,DWORD PTR SS:[EBP-248]
0175822E 51             PUSH ECX
0175822F 8B55 F4       MOV EDX,DWORD PTR SS:[EBP-C]
01758232 A1 84EF7A01    MOV EAX,DWORD PTR DS:[17AEF84]
01758237 8B0C90       MOV ECX,DWORD PTR DS:[EAX+EDX*4]
0175823A 51             PUSH ECX
0175823B FF15 D4F17901 CALL DWORD PTR DS:[179F1D4]             ; kernel32.GetProcAddress
01758241 3385 6CFDFFFF XOR EAX,DWORD PTR SS:[EBP-294]
01758247 8B55 F4       MOV EDX,DWORD PTR SS:[EBP-C]
0175824A 8B0D 7CEF7A01 MOV ECX,DWORD PTR DS:[17AEF7C]
01758250 8B1491       MOV EDX,DWORD PTR DS:[ECX+EDX*4]
01758253 8B8D BCFEFFFF MOV ECX,DWORD PTR SS:[EBP-144]
01758259 89048A       MOV DWORD PTR DS:[EDX+ECX*4],EAX
0175825C 6A 01          PUSH 1
0175825E 8D95 B8FDFFFF LEA EDX,DWORD PTR SS:[EBP-248]
01758264 52             PUSH EDX
01758265 8B45 F4       MOV EAX,DWORD PTR SS:[EBP-C]
01758268 8B0D 84EF7A01 MOV ECX,DWORD PTR DS:[17AEF84]
0175826E 8B1481       MOV EDX,DWORD PTR DS:[ECX+EAX*4]
01758271 52             PUSH EDX
01758272 E8 E9090000    CALL 01758C60
01758277 83C4 0C       ADD ESP,0C
0175827A 8B4D F4       MOV ECX,DWORD PTR SS:[EBP-C]
0175827D 8B15 80EF7A01 MOV EDX,DWORD PTR DS:[17AEF80]
01758283 8B0C8A       MOV ECX,DWORD PTR DS:[EDX+ECX*4]
01758286 8B95 BCFEFFFF MOV EDX,DWORD PTR SS:[EBP-144]
0175828C 890491       MOV DWORD PTR DS:[ECX+EDX*4],EAX
0175828F 8B45 F4       MOV EAX,DWORD PTR SS:[EBP-C]
01758292 8B0D 80EF7A01 MOV ECX,DWORD PTR DS:[17AEF80]
01758298 8B1481       MOV EDX,DWORD PTR DS:[ECX+EAX*4]
0175829B 8B85 BCFEFFFF MOV EAX,DWORD PTR SS:[EBP-144]
017582A1 833C82 00    CMP DWORD PTR DS:[EDX+EAX*4],0
017582A5 75 32          JNZ SHORT 017582D9
017582A7 6A 00          PUSH 0
017582A9 8D8D B8FDFFFF LEA ECX,DWORD PTR SS:[EBP-248]
017582AF 51             PUSH ECX
017582B0 8B55 F4       MOV EDX,DWORD PTR SS:[EBP-C]
017582B3 A1 84EF7A01    MOV EAX,DWORD PTR DS:[17AEF84]
017582B8 8B0C90       MOV ECX,DWORD PTR DS:[EAX+EDX*4]
017582BB 51             PUSH ECX
017582BC E8 9F090000    CALL 01758C60
017582C1 83C4 0C       ADD ESP,0C
017582C4 8B55 F4       MOV EDX,DWORD PTR SS:[EBP-C]
017582C7 8B0D 80EF7A01 MOV ECX,DWORD PTR DS:[17AEF80]
017582CD 8B1491       MOV EDX,DWORD PTR DS:[ECX+EDX*4]
017582D0 8B8D BCFEFFFF MOV ECX,DWORD PTR SS:[EBP-144]
017582D6 89048A       MOV DWORD PTR DS:[EDX+ECX*4],EAX
017582D9 8B55 F4       MOV EDX,DWORD PTR SS:[EBP-C]
017582DC A1 80EF7A01    MOV EAX,DWORD PTR DS:[17AEF80]
017582E1 8B0C90       MOV ECX,DWORD PTR DS:[EAX+EDX*4]
017582E4 8B15 04CB7A01 MOV EDX,DWORD PTR DS:[17ACB04]          ; yuanban.00A35370
017582EA A1 04CB7A01    MOV EAX,DWORD PTR DS:[17ACB04]
017582EF 8B35 04CB7A01 MOV ESI,DWORD PTR DS:[17ACB04]          ; yuanban.00A35370
017582F5 8B3D 04CB7A01 MOV EDI,DWORD PTR DS:[17ACB04]          ; yuanban.00A35370
017582FB 8B7F 14       MOV EDI,DWORD PTR DS:[EDI+14]
017582FE 337E 18       XOR EDI,DWORD PTR DS:[ESI+18]
01758301 3378 10       XOR EDI,DWORD PTR DS:[EAX+10]
01758304 337A 6C       XOR EDI,DWORD PTR DS:[EDX+6C]
01758307 8B95 BCFEFFFF MOV EDX,DWORD PTR SS:[EBP-144]
0175830D 333C91       XOR EDI,DWORD PTR DS:[ECX+EDX*4]
01758310 8B45 F4       MOV EAX,DWORD PTR SS:[EBP-C]
01758313 8B0D 80EF7A01 MOV ECX,DWORD PTR DS:[17AEF80]
01758319 8B1481       MOV EDX,DWORD PTR DS:[ECX+EAX*4]
0175831C 8B85 BCFEFFFF MOV EAX,DWORD PTR SS:[EBP-144]
01758322 893C82       MOV DWORD PTR DS:[EDX+EAX*4],EDI
01758325  ^ E9 8CFEFFFF    JMP 017581B6
0175832A 8B0D 04CB7A01 MOV ECX,DWORD PTR DS:[17ACB04]          ; yuanban.00A35370
01758330 8B15 04CB7A01 MOV EDX,DWORD PTR DS:[17ACB04]          ; yuanban.00A35370
01758336 A1 04CB7A01    MOV EAX,DWORD PTR DS:[17ACB04]
0175833B 8B35 04CB7A01 MOV ESI,DWORD PTR DS:[17ACB04]          ; yuanban.00A35370
01758341 8B76 30       MOV ESI,DWORD PTR DS:[ESI+30]
01758344 3370 10       XOR ESI,DWORD PTR DS:[EAX+10]
01758347 3372 38       XOR ESI,DWORD PTR DS:[EDX+38]
0175834A 33B1 84000000 XOR ESI,DWORD PTR DS:[ECX+84]
01758350 8B4D F4       MOV ECX,DWORD PTR SS:[EBP-C]
01758353 8B15 84EF7A01 MOV EDX,DWORD PTR DS:[17AEF84]
01758359 33348A       XOR ESI,DWORD PTR DS:[EDX+ECX*4]
0175835C 8B45 F4       MOV EAX,DWORD PTR SS:[EBP-C]
0175835F 8B0D 84EF7A01 MOV ECX,DWORD PTR DS:[17AEF84]
01758365 893481       MOV DWORD PTR DS:[ECX+EAX*4],ESI
01758368  ^ E9 6FFCFFFF    JMP 01757FDC
0175836D EB 03          JMP SHORT 01758372    //在此下断。shift+f9运行，断下后取消017580E6 的修改
0175836F D6             SALC
01758370 D6             SALC
01758371 8F             ???                                     ; Unknown command
******************************************************************************************************
再下断点bp CreateThread ，结果出现错误提示：
Error while unpacking program, code C. please report to author.
见图！
******************************************************************************************************

[课程]Linux pwn 探索篇！

收藏・0

免费・0

支持

最新回复 (6)
playboysen 雪币： 590 活跃值： (177) 能力值： ( LV9，RANK：680 ) 在线值：发帖 64 回帖 786 粉丝 1 关注私信	playboysen 16 2 楼程序无法运行（缺少dll），别人没办法帮你 2008-12-11 08:14 0
wjtwsd 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 40 粉丝 0 关注私信	wjtwsd 3 楼新下载地址： 2008-12-11 14:18 0
wjtwsd 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 40 粉丝 0 关注私信	wjtwsd 4 楼呵呵已经解决看来我要细心些了！ 2008-12-11 19:27 0
loveugene 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 20 粉丝 0 关注私信	loveugene 5 楼请问楼上的兄弟是怎么解决的呢？？ 2009-1-8 10:20 0
playboysen 雪币： 590 活跃值： (177) 能力值： ( LV9，RANK：680 ) 在线值：发帖 64 回帖 786 粉丝 1 关注私信	playboysen 16 6 楼对啊 LZ把经验和欣喜分享一下吧 2009-1-10 11:07 0
BAICC 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 16 粉丝 0 关注私信	BAICC 7 楼弄上来,学习下, 2009-1-10 17:35 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

wjtwsd

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (6)
playboysen 雪币： 590 活跃值： (177) 能力值： ( LV9，RANK：680 ) 在线值：发帖 64 回帖 786 粉丝 1 关注私信	playboysen 16 2 楼程序无法运行（缺少dll），别人没办法帮你 2008-12-11 08:14 0
wjtwsd 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 40 粉丝 0 关注私信	wjtwsd 3 楼新下载地址： 2008-12-11 14:18 0
wjtwsd 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 40 粉丝 0 关注私信	wjtwsd 4 楼呵呵已经解决看来我要细心些了！ 2008-12-11 19:27 0
loveugene 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 20 粉丝 0 关注私信	loveugene 5 楼请问楼上的兄弟是怎么解决的呢？？ 2009-1-8 10:20 0
playboysen 雪币： 590 活跃值： (177) 能力值： ( LV9，RANK：680 ) 在线值：发帖 64 回帖 786 粉丝 1 关注私信	playboysen 16 6 楼对啊 LZ把经验和欣喜分享一下吧 2009-1-10 11:07 0
BAICC 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 16 粉丝 0 关注私信	BAICC 7 楼弄上来,学习下, 2009-1-10 17:35 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复