安全中国首页 > 文章中心 > 脱壳技术
 
安全中国网友投稿专用上传FTP空间:
Ftp服务器:download.anqn.com
Ftp端口:21
用户名:anqn
密 码:anqn.com
 

爱的中体验之Armadillo3.x双进程之Mr.Captor(图)

更新时间:2008-4-22 0:21:58
责任编辑:果果龙
热 点:
【脱文标题】 爱的中体验之Armadillo3.x双进程之Mr.Captor

【脱文作者】 weiyi75[Dfcg]

【作者邮箱】 weiyi75@sohu.com

【作者主页】 Dfcg官方大本营 ---  http://www.chinadfcg.com/

【使用工具】 Peid,Ollydbg,Loadpe,Imprec1.6F

【脱壳平台】 WinXp

【软件名称】 Mr.Captor

【软件简介】 Mr.Captor 是一个非常好用的屏幕截图程序!他可以帮助你把看到的任何图片忠实的保留下来!并可以保存为BMP, PCX, GIF, JPEG, PNG, TIFF, TGA, CUR, ICO, AVI等格式!支持自定义热键!非常容易使用呀!

【软件大小】 1686 KB

【下载页面   本地分两卷下载
              
             http://www.chinadfcg.com/attachment.php?aid=484
              
             http://www.chinadfcg.com/attachment.php?aid=485

【加壳方式】 Armadillo 3.00a - 3.61 -> Silicon Realms Toolworks

【保护方式】 双进程标准方式加壳

【脱壳声明】 我是一只小菜鸟,偶得一点心得,愿与大家分享:

前言,在看雪论坛看了诸位大侠写的2.7版脱文,当我写完2.8版的脱文时,Fly大侠也写完了,未脱壳2.7版的双进程有点失望,于是上百度搜索找到了2.7版双进程的Mr.Captor。

MrCaptor.exe用PEiD查壳  Armadillo 3.00a-3.61,运行看是双进程的标准壳。

运行程序,发现进程里有两个MrCaptor.exe,昏。看了mysqladm的文章《试玩armadillo3.50a一点心得 》暂时无法吸收,但方法已经学会。

首先不要让父进程生成子进程,原理太复杂,没有深入的编程知识无法理解,急,日夜脱壳还是不够,还有N个壳等着要脱。先打好基础吧,慢慢来,又有一点进步。

现在科技这么发达,下载一个自动隐藏OD插件,我已经在论坛里给出下载地址,以后根本无需隐藏OD调试,用抗AntiDbg 的OD--Ukillod 调试猛壳也很省心,和原版Od无任何区别,只是增加了反Anti功能。OD载入程序,忽略所有异常。

004BC000 >  60              pushad      //外壳入口
004BC001    E8 00000000     call MrCaptor.004BC006
004BC006    5D              pop ebp
004BC007    50              push eax
004BC008    51              push ecx
004BC009    EB 0F           jmp short MrCaptor.004BC01A
004BC00B    B9 EB0FB8EB     mov ecx, EBB80FEB
004BC010    07              pop es
004BC011    B9 EB0F90EB     mov ecx, EB900FEB
004BC016    08FD            or ch, bh
004BC018    EB 0B           jmp short MrCaptor.004BC025
.....................................................

F9运行Arm典型的两个异常,Shift+F9 忽略。

异常1

004BE4A3    F0:             prefix lock:
004BE4A4    F0:C7           ???                                      ; 未知命令
004BE4A6    C8 6033C9       enter 3360, 0C9
004BE4AA    75 02           jnz short MrCaptor.004BE4AE
004BE4AC    EB 15           jmp short MrCaptor.004BE4C3
004BE4AE    EB 33           jmp short MrCaptor.004BE4E3
004BE4B0    C9              leave
004BE4B1    75 18           jnz short MrCaptor.004BE4CB
004BE4B3    7A 0C           jpe short MrCaptor.004BE4C1
004BE4B5    70 0E           jo short MrCaptor.004BE4C5
004BE4B7    EB 0D           jmp short MrCaptor.004BE4C6
004BE4B9    E8 720E79F1     call F1C4F330
004BE4BE    FF15 00790974   call dword ptr ds:[74097900]
004BE4C4    F0:EB 87        lock jmp short MrCaptor.004BE44E         ; 锁定前缀是不允许的
.....................................................

异常2

004BE5BC    F0:             prefix lock:
004BE5BD    F0:C7           ???                                      ; 未知命令
004BE5BF    C8 64678F       enter 6764, 8F
004BE5C3    06              push es
004BE5C4    0000            add byte ptr ds:[eax], al
004BE5C6    83C4 04         add esp, 4
004BE5C9    8B85 5E3E0000   mov eax, dword ptr ss:[ebp+3E5E]
004BE5CF    60              pushad
004BE5D0    33C9            xor ecx, ecx
004BE5D2    75 02           jnz short MrCaptor.004BE5D6
004BE5D4    EB 15           jmp short MrCaptor.004BE5EB
004BE5D6    EB 33           jmp short MrCaptor.004BE60B
004BE5D8    C9              leave
004BE5D9    75 18           jnz short MrCaptor.004BE5F3
004BE5DB    7A 0C           jpe short MrCaptor.004BE5E9
.....................................................

命令行下断点 BP OpenMutexA,Shift+F9运行。

1 2 3 4 下一页

 
相关文章
一日一文章
 
一日一软件
一日一动画