Armadillo COPYMEMEII之DUMP的一個LOADPE小外掛

看雪資料發表於2015-11-15

標 題:Armadillo COPYMEMEII之DUMP的一個LOADPE小外掛 

發信人:jwh51

時 間:2004年3月15日 10:07

詳細資訊: 



Armadillo COPYMEMEII之DUMP的一個LOADPE小外掛 ,下載(或滑鼠右鍵另存為)

用它來DUMP ARM COPYMEMII的程式,非常酷。
很多朋友不知如何使用現附上使用方法
先把外掛放在LOADPE的LDE目錄下(沒有這個目錄的就自己建)
用OD開啟要脫殼的程式我這裡以一個自縞小程式為例:
下斷BP WaitForDebugEvent,斷下後看堆疊:
0012DAC0   004AAD67  /CALL to WaitForDebugEvent from ScreenCo.004AAD61
0012DAC4   0012EB84  |pDebugEvent = 0012EB84
0012DAC8   000003E8  Timeout = 1000. ms

在記憶體區定位在12eb84處這樣好看OEP。
清斷後再bp WriteProcessMemory,F9後看看
0012D960   004AEC6E  /CALL to WriteProcessMemory from ScreenCo.004AEC68
0012D964   0000005C  |hProcess = 0000005C (window)
0012D968   00484000  |Address = 484000
0012D96C   00CF3FF0  |Buffer = 00CF3FF0
0012D970   00001000  |BytesToWrite = 1000 (4096.)
0012D974   0012DA7C  pBytesWritten = 0012DA7C

這裡就是把緩衝區cf3ff0處的程式碼共1000H位元組寫進484000處,OEP也在附近了
0012EB84  01 00 00 00 00 05 00 00 E0 02 00 00 01 00 00 80  ......?....
0012EB94  00 00 00 00 00 00 00 00 A0 40 48 00 02 00 00 00  ........@H....
0012EBA4  00 00 00 00 A0 40 48 00 A0 40 48 00 00 47 12 81  ....@H.@H..G
OEP為4840a0
現在我們要做兩件事一要改OEP為死迴圈二要NOP掉加密CALL
1。改OEP,可以用PUPE改也可以在緩衝區直接改,我用後一種CTRL+G,輸入 00cf3ff0+0a0 (這裡CF3FF0是緩衝區開始處,0a0=4840a0-484000,前面加個0防止OD判斷為負數),定位到這裡
00CF4090    55              PUSH    EBP
00CF4091    8BEC            MOV     EBP, ESP
00CF4093    83C4 F0         ADD     ESP, -10
00CF4096    B8 A03E4800     MOV     EAX, 483EA0
00CF409B    E8 D01CF8FF     CALL    00C75D70

這就是程式OEP處的程式碼了,558B改為EBFE
2,NOP掉加密CALL,老版可用ALT+K找新版可在STACK往下找找就可以了這裡有這樣一句:
0012D960   004AEC6E  /CALL to WriteProcessMemory from ScreenCo.004AEC68
0012D964   0000005C  |hProcess = 0000005C (window)
0012D968   00484000  |Address = 484000
0012D96C   00CF3FF0  |Buffer = 00CF3FF0
0012D970   00001000  |BytesToWrite = 1000 (4096.)
0012D974   0012DA7C  pBytesWritten = 0012DA7C
0012D978   00000009
0012D97C   00000839
0012D980   0012F590
0012D984   00000000
0012D988   00000000
0012D98C   00000000
0012D990   00000000
0012D994   00000000
0012D998   00000000
0012D99C   00000000
0012D9A0   00000000
0012D9A4   00000000
0012D9A8   00000000
0012D9AC   00000000
0012D9B0   00000000
0012D9B4   00000000
0012D9B8   00000000
0012D9BC   00000000
0012D9C0   00000000
0012D9C4   00000000
0012D9C8   00000000
0012D9CC   00000000
0012D9D0   00000000
0012D9D4   00000000
0012D9D8   00000000
0012D9DC   00000000
0012D9E0   00000000
0012D9E4   00000000
0012D9E8   00000000
0012D9EC   00000000
0012D9F0   00000000
0012D9F4   00000000
0012D9F8   00000000
0012D9FC   00000000
0012DA00   00000000
0012DA04   00000000
0012DA08   00000000
0012DA0C   00000000
0012DA10   00000000
0012DA14   00000000
0012DA18   00000000
0012DA1C   00000000
0012DA20   00000000
0012DA24   00000000
0012DA28   00000000
0012DA2C   00000000
0012DA30   00000000
0012DA34   00000000
0012DA38   00000000
0012DA3C   00000000
0012DA40   00000000
0012DA44   00000000
0012DA48   00000000
0012DA4C   00000000
0012DA50   00000000
0012DA54   00000000
0012DA58   3255BC34
0012DA5C   00CF4FF0
0012DA60   00CF4FF0
0012DA64   000000E3
0012DA68   00000000
0012DA6C   00000020
0012DA70   00484000  ScreenCo.00484000
0012DA74   00000020
0012DA78   00CF4FF0
0012DA7C   00001000
0012DA80   00CF4FF0
0012DA84  /0012DAB8
0012DA88  |004AD8DC  RETURN to ScreenCo.004AD8DC from ScreenCo.004ADC24
0012DA8C  |00000083

看到後面那個RETURN了吧,這就是加密CALL所在在那裡右鍵―――FOLLOW IN DESASMBLER到這裡
004AD8D7   .  E8 48030000   CALL    004ADC24     (這就是解碼CALL)                    ;  ScreenCo.004ADC24
004AD8DC   >  83C4 0C       ADD     ESP, 0C     (返回到這)
我們搜尋另一個call 004adc24,在這裡:
004ADBAB   .  50            PUSH    EAX
004ADBAC   .  E8 73000000   CALL    004ADC24                         ;  ScreenCo.004ADC24

把4adbac處NOP掉,清除所有斷點然後F9執行這樣就可以用LOADPE來DUMP了
用LOADPE選中子程式,右鍵―――選擇脫殼引擎------armadmp,然後再在子程式右鍵--完全脫殼
OK,你已經成功DUMP了,記得要把OEP程式碼改回來
經測試在2000/XP都可以成功DUMP。98沒試過因為我們這已經沒有用98的機子了。

相關文章