標 題:Armadillo COPYMEMEII之DUMP的一個LOADPE小外掛
發信人:jwh51
時 間:2004年3月15日 10:07
詳細資訊:
Armadillo COPYMEMEII之DUMP的一個LOADPE小外掛
,下載(或滑鼠右鍵另存為)
用它來DUMP ARM COPYMEMII的程式,非常酷。
很多朋友不知如何使用現附上使用方法
先把外掛放在LOADPE的LDE目錄下(沒有這個目錄的就自己建)
用OD開啟要脫殼的程式我這裡以一個自縞小程式為例:
下斷BP WaitForDebugEvent,斷下後看堆疊:
0012DAC0 004AAD67 /CALL to WaitForDebugEvent from ScreenCo.004AAD61
0012DAC4 0012EB84 |pDebugEvent = 0012EB84
0012DAC8 000003E8 Timeout = 1000. ms
在記憶體區定位在12eb84處這樣好看OEP。
清斷後再bp WriteProcessMemory,F9後看看
0012D960 004AEC6E /CALL to WriteProcessMemory from ScreenCo.004AEC68
0012D964 0000005C |hProcess = 0000005C (window)
0012D968 00484000 |Address = 484000
0012D96C 00CF3FF0 |Buffer = 00CF3FF0
0012D970 00001000 |BytesToWrite = 1000 (4096.)
0012D974 0012DA7C pBytesWritten = 0012DA7C
這裡就是把緩衝區cf3ff0處的程式碼共1000H位元組寫進484000處,OEP也在附近了
0012EB84 01 00 00 00 00 05 00 00 E0 02 00 00 01 00 00 80 ......?....
0012EB94 00 00 00 00 00 00 00 00 A0 40 48 00 02 00 00 00 ........@H....
0012EBA4 00 00 00 00 A0 40 48 00 A0 40 48 00 00 47 12 81 ....@H.@H..G
OEP為4840a0
現在我們要做兩件事一要改OEP為死迴圈二要NOP掉加密CALL
1。改OEP,可以用PUPE改也可以在緩衝區直接改,我用後一種CTRL+G,輸入 00cf3ff0+0a0 (這裡CF3FF0是緩衝區開始處,0a0=4840a0-484000,前面加個0防止OD判斷為負數),定位到這裡
00CF4090 55 PUSH EBP
00CF4091 8BEC MOV EBP, ESP
00CF4093 83C4 F0 ADD ESP, -10
00CF4096 B8 A03E4800 MOV EAX, 483EA0
00CF409B E8 D01CF8FF CALL 00C75D70
這就是程式OEP處的程式碼了,558B改為EBFE
2,NOP掉加密CALL,老版可用ALT+K找新版可在STACK往下找找就可以了這裡有這樣一句:
0012D960 004AEC6E /CALL to WriteProcessMemory from ScreenCo.004AEC68
0012D964 0000005C |hProcess = 0000005C (window)
0012D968 00484000 |Address = 484000
0012D96C 00CF3FF0 |Buffer = 00CF3FF0
0012D970 00001000 |BytesToWrite = 1000 (4096.)
0012D974 0012DA7C pBytesWritten = 0012DA7C
0012D978 00000009
0012D97C 00000839
0012D980 0012F590
0012D984 00000000
0012D988 00000000
0012D98C 00000000
0012D990 00000000
0012D994 00000000
0012D998 00000000
0012D99C 00000000
0012D9A0 00000000
0012D9A4 00000000
0012D9A8 00000000
0012D9AC 00000000
0012D9B0 00000000
0012D9B4 00000000
0012D9B8 00000000
0012D9BC 00000000
0012D9C0 00000000
0012D9C4 00000000
0012D9C8 00000000
0012D9CC 00000000
0012D9D0 00000000
0012D9D4 00000000
0012D9D8 00000000
0012D9DC 00000000
0012D9E0 00000000
0012D9E4 00000000
0012D9E8 00000000
0012D9EC 00000000
0012D9F0 00000000
0012D9F4 00000000
0012D9F8 00000000
0012D9FC 00000000
0012DA00 00000000
0012DA04 00000000
0012DA08 00000000
0012DA0C 00000000
0012DA10 00000000
0012DA14 00000000
0012DA18 00000000
0012DA1C 00000000
0012DA20 00000000
0012DA24 00000000
0012DA28 00000000
0012DA2C 00000000
0012DA30 00000000
0012DA34 00000000
0012DA38 00000000
0012DA3C 00000000
0012DA40 00000000
0012DA44 00000000
0012DA48 00000000
0012DA4C 00000000
0012DA50 00000000
0012DA54 00000000
0012DA58 3255BC34
0012DA5C 00CF4FF0
0012DA60 00CF4FF0
0012DA64 000000E3
0012DA68 00000000
0012DA6C 00000020
0012DA70 00484000 ScreenCo.00484000
0012DA74 00000020
0012DA78 00CF4FF0
0012DA7C 00001000
0012DA80 00CF4FF0
0012DA84 /0012DAB8
0012DA88 |004AD8DC RETURN to ScreenCo.004AD8DC from ScreenCo.004ADC24
0012DA8C |00000083
看到後面那個RETURN了吧,這就是加密CALL所在在那裡右鍵―――FOLLOW IN DESASMBLER到這裡
004AD8D7 . E8 48030000 CALL 004ADC24 (這就是解碼CALL) ; ScreenCo.004ADC24
004AD8DC > 83C4 0C ADD ESP, 0C (返回到這)
我們搜尋另一個call 004adc24,在這裡:
004ADBAB . 50 PUSH EAX
004ADBAC . E8 73000000 CALL 004ADC24 ; ScreenCo.004ADC24
把4adbac處NOP掉,清除所有斷點然後F9執行這樣就可以用LOADPE來DUMP了
用LOADPE選中子程式,右鍵―――選擇脫殼引擎------armadmp,然後再在子程式右鍵--完全脫殼
OK,你已經成功DUMP了,記得要把OEP程式碼改回來
經測試在2000/XP都可以成功DUMP。98沒試過因為我們這已經沒有用98的機子了。