armadillo脫殼知識和方法大全
近日對armadillo殼很感興趣,緣於它的多種組合的變化,但仔細看來,其保護的解決方法又有相對固定。方法無外乎那麼幾種脫殼方法(當然排除有key和cc),本人在本論壇已對標準殼的脫殼方法發貼,但後來有所更新,乾脆總結在一塊吧,以方便大家。大家可以複製下來,放在手邊,脫殼時按步驟來。我還是一小鳥,同大家一樣在逐漸成長中,有不對的地方和不成熟的地方,望大家批評指正,共同進步。
一、基本知識:
該殼有如下保護:
(1)debug-blocker(阻止偵錯程式)--解決方法就是忽略所有異常,隱藏好od,如果載入時,老出錯,就多換幾個od試試。
(2)copymem-ii(雙程序保護)---解決方法是:用手動或者指令碼使雙變單。
(3) enable import table elimination(iat保護) –解決方法是用工具armadetach再次載入加殼程式,記下子程序id,用另一od載入,利用斷點getmodulehandlea,找到magic jump,修改magic jump,得到正確的iat。
(4)enable strategic code splicing(遠位址跳) ,解決方法就是用arminline工具。
(5) enable nanomites processing(簡稱cc),就是把一些retn**變成cc(int型),解決方法:用arminline工具或enjoy工具。
(6)enable memory-patching protections(記憶體保護)
二、脫此類殼常用的斷點:
jump)
9、createthread(尋找oep)
三、種類及脫殼方法
04 加殼和脫殼
可以使用以下兩種方式進行判斷 搜尋load commands中的crypt關鍵字 otool l 可執行檔名稱 脫殼方式有兩種,硬脫殼和動態脫殼 將dylib檔案拷貝到iphone上 如果是root使用者,建議放 var root目錄 終端進入dylib所在位置,使用環境變數dyld insert ...
學習 脫殼之Anti Dump和修復PE
文章繼 發現轉儲之後,然後修復iat發現依然是打不開的,原因是殼有反脫殼的檢測 把修復完iat的程式繼續載入,f8跟隨,發現jmp的區段已經不存在了 我們再看下原程式的ac區段,發現是存在的,所以我們需要把這個原程式中的ac區段拷貝乙份,在脫殼後的程式中進行填充 然後填充到脫殼後的程式中 因為是直接...
ximo基礎脫殼教程11 附加資料的處理方法
工具 overlay最終版 win hex或hex workshop 首先我們查一下殼 發現是乙個北斗的殼,並且帶有附加資料 我們用od開啟除錯程式 上來就發現了pushad和pushfd,那我們直接使用esp定律法,先單步,然後在暫存器視窗中右鍵資料視窗跟隨,然後再資料視窗中下斷點,然後執行 然後...