-
-
[旧帖]
[原创]穿山甲壳的脱壳思路
0.00雪花
-
发表于:
2009-5-28 13:48
3568
-
[旧帖] [原创]穿山甲壳的脱壳思路
0.00雪花
穿山甲(双进程 非标准) 脱壳思路
一 双进程变单进程
断点 bp OpenMutexA
隐藏OD 注意设置异常
在00401000处 做欺骗 eip
00401000 60 pushad
00401001 9C pushfd
00401002 68 A0FD1200 push 12FDA0 ; ASCII "44C::DA47D45903"
00401007 33C0 xor eax,eax
00401009 50 push eax
0040100A 50 push eax
0040100B E8 E694A677 call KERNEL32.CreateMutexA
00401010 9D popfd
00401011 61 popad
00401012 - E9 8F9FA777 jmp KERNEL32.OpenMutexA
二 隐藏od漏洞 避开Anti(这是什么东东)
he OutputDebugStringA
2次
三、Magic Jump
he GetModuleHandleA+5
仍然用欺骗手段
最后 内存断点 00401000
进入ECX
自己总结的如果有不对的地方 请高手指点一下
[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法