1 / 11
文档名称:

Armadillo脱壳知识和方法大全.doc

格式:doc   页数:11页
下载后只包含 1 个 DOC 格式的文档,没有任何的图纸或源代码,查看文件列表

如果您已付费下载过本站文档,您可以点这里二次下载

文档介绍:Armadillo脱壳知识和方法大全.docArmadillo脱壳知识和方法大全Armadillo脱壳知识和方法大全对Armadillo壳很感兴趣,缘于它的多种组合的变化,但仔细看来,其保护的解决方法又有相对固定。方法无外乎那么几种脱壳方法(),本人在本论XJS中国红客联盟-全球最大的红客组织XJS中国红客联盟-全球最大的红客组织坛已对标准壳的脱壳方法发贴,但后来有所更新,干脆总结在一块吧,以方便大家。大家可以复制下来,放在手边,脱壳时按步骤来。我还是XJS中国红客联盟-全球最大的红客组织XJS中国红客联盟-全球最大的红客组织一小鸟,同大家一样在逐渐成长中,有不对的地方和不成熟的地方,望大家批评指正,共同进步。XJS中国红客联盟-全球最大的红客组织一、基本知识:XJS中国红客联盟-全球最大的红客组织该壳有如下保护:XJS中国红客联盟-全球最大的红客组织(1)Debug-Blocker(阻止调试器)--解决方法就是忽略所有异常,隐藏好OD,如果加载时,老出错,就多换几个OD试试。XJS中国红客联盟-全球最大的红客组织(2)CopyMem-II(双进程保护)---解决方法是:用手动或者脚本使双变单。XJS中国红客联盟-全球最大的红客组织(3)EnableImportTableElimination(IAT保护)–解决方法是用工具ArmaDetach再次载入加壳程序,记下子进程ID,用另一OD载入,利用断XJS中国红客联盟-全球最大的红客组织XJS中国红客联盟-全球最大的红客组织点GetModuleHandleA,找到MagicJump,修改MagicJump,得到正确的IAT。XJS中国红客联盟-全球最大的红客组织(4)odeSplicing(远地址跳),解决方法就是用Arminline工具。XJS中国红客联盟-全球最大的红客组织(5)EnableNanomitesProcessing(),(INT型),解决方法:用Arminline工具或Enjoy工具。XJS中国红客联盟-全球最大的红客组织(6)EnableMemory-PatchingProtections(内存保护)XJS中国红客联盟-全球最大的红客组织二、脱此类壳常用的断点:XJS中国红客联盟-全球最大的红客组织1、WaitForDebugEvent(用于寻找非标准OEP和做补丁用)XJS中国红客联盟-全球最大的红客组织2、WriteProcessMemory(用于寻找非标准OEP)XJS中国红客联盟-全球最大的红客组织3、DebugActiveProcess(找子程)XJS中国红客联盟-全球最大的红客组织4、OpenMutexA(双进程转单进程)XJS中国红客联盟-全球最大的红客组织5、GetSystemTime(补丁KEY)XJS中国红客联盟-全球最大的红客组织6、VirtualProtect(用于5.x)XJS中国红客联盟-全球最大的红客组织7、CreateFileMappingA(用于5.x)XJS中国红客联盟-全球最大的红客组织8、GetModuleHandleA/LoadLibraryA(用于找MagicJump)XJS中国红客联盟-全球最大的红客组织9、CreateThread(寻找OEP)XJS中国红客联盟-全球最大的红客组织三、种类及脱壳方法XJS中国红客联盟-全球最大的红客组织说明:对于此壳一般要隐藏OD。如果按以下方法下断OD断不下来,出错,就多换几个OD试试,在我脱壳中,就有个情况,下断点后,老断不下XJS中国红客联盟-全球最大的红客组织XJS中国红客联盟-全球最大的红客组织来,多换了几个OD就成功了。XJS中国红客联盟-全球最大的红客组织(一)单线程标准方式XJS中国红客联盟-全球最大的红客组织具体方法:2次断点法加修改MagicJump。XJS中国红客联盟-全球最大的红客组织1、找MagicJumpXJS中国红客联盟-全球最大的红客组织方法有二:XJS中国红客联盟-全球最大的红客组织方法一、下断点BpGetModuleHandleA/heGetModuleHandleA/bpGetModuleHandleA+5/heGetModuleHandleA+5,按shift+f9运行,当经过一个XJS中国红客联盟-全球最大的红客组织XJS中国红客联盟-全球最大的红客组织call缓冲有点大时,一般是在堆栈窗口出现ASCII"kernel32.dll"和ASCII"VirtualFree“后,再运行一次,出现"kernel32.dll",就是返回XJS中国红客联盟-全球最大的红客组织XJS中国红客联盟-全球最大的红客组织时机,取消断点,按alt+f9执行到返回。XJS中国红客联盟-全球最大的红客组织方法二、也可以下bpLoadLibraryA断点,当在堆栈

点击展开更多

Armadillo脱壳知识和方法大全.doc

上传人:ictor821 2019/12/10 文件大小:0 KB

下载得到文件列表

Armadillo脱壳知识和方法大全.doc

相关文档