Armadillo V3_01标准加壳方式的脱壳--SoundEdit Pro _ 安全中国www.anqn.com

[实例解析一] Armadillo V3_01标准加壳方式的脱壳--SoundEdit Pro

程序名:SoundEdit Pro V1.3.634

※软件简介※:SoundEdit Pro可以打开WAV、MPC、MP+、MP2、MP3、VOX、RAW、OGG、WMA、CDA 等扩展名的音乐文件，进行声波编辑、剪裁、混音等工作；还有完整的录音功能，可以从 CD、麦克风、立体混音装置、讯号线来源、影片等来源录音。

软件语言：英文
软件类别：国外软件/共享版/音频处理
运行环境： Win9x/Me/NT/2000/XP
界面预览：无
软件大小： 10273KB
软件更新： 2003-7-8
下载页面： http://www.pcdog.com/soft/942.htm

※参考文章※:Armadillo标准加壳的程序的脱壳和引入表修复方案作者：jwh51
             脱Armadillo 3.01 壳作者：yesky1
             Armadillo V3.40标准加壳方式的脱壳——Win98的Notepad 作者：fly

※软件限制※:SoundEdit是一个声音编辑软件,采用了ARMADILLO的KEY加密,启动要你输入KEY,否则要等几秒才能让你启动,还有30天试用期,所以,如果脱了壳,上述现象都将没有了.现在开始脱壳历程.!!

※破解工具※:DriverSuite2.7中的softice4.2.7、FI 3.01

※调试平台※:Windows XP

Armadillo是当今猛壳之一,加壳方式有两种,一种是标准方式(Standard Protections Only)加壳,
另一种是CopyMem-II+Debug-Blocker的加壳,其标准加壳方式相对来说则容易的多.用COPYMEMII的一般可用DILLODUMP脱,而用标准加壳用DILLODUMP是脱不了的。

※开始吧※
FI 3.01侦测知其用Armadilolo v3.01加壳,并且运行是没有两个进程,所以应该是标准加壳.

[一],DUMP出程序并修复:
首先一点是Armadillo是通过类似于调试的方法来运行程序的。
新版本Armadillo脱壳的一个难点是它的代码段是分页解密的，我估计它的做法是将代码段
锁定，即将其属性设为不可读、写、执行，当被执行到时会产生一个页面保护错误，而调
试程序就会捕获这个错误，将对应的页面解锁并解密，然后返回执行.

第一步,打开softice4.2.7
第二步,开启SoundEdit Pro直到出现注册框,那个注册框上的OK键会延迟生效。
第三步,ctrl+D调出softice

附:如果系统时间在安装SoundEdit Pro后修改过,程序会检测到,并警告修改系统时间而退出程序.
如下方法可挫败它的这个保护。
bpx getlocaltime
g回来点击ok按键,中断两次后,先别忙g退出.
经过测试内存地址00CB4677处的test al,al是关键,所以bpx 00CB4677再g.
((((
00CB4672   E8 08060000      CALL 00CB4C7F
00CB4677   84C0             TEST AL,AL      ====>走到这里将AL改为00000000即可
00CB4679   74 1C            JE SHORT 00CB4697
00CB467B   E8 56050000      CALL 00CB4BD6   ====>这个call警告修改系统时间
))))
中断后,R EAX 00000000修改寄存器EAX的值为0,然后BC *清除所有断点.
先别忙退出,继续BPX VirtualProtect.
至此击败它了.

如果没有改过时间,则跳过上面一步,直接在按OK前BPX VirtualProtect.

然后再次中断,这时你要注意开始记下中断的次数了.我在第21次时按F10单步返回时得知
程序CALL to VirtualProtect from MSVBVM60.7342F400
说明程序,已经运行了.(VB是先运行MSVBVM60.DLL的,在其中也用调用VirtualProtect)

1 2 下一页