• 标 题:Armadillo COPYMEMEII之DUMP的一个LOADPE小插件
  • 作 者:jwh51
  • 时 间:2004年3月15日 10:07
  • 链 接:http://bbs.pediy.com

Armadillo COPYMEMEII之DUMP的一个LOADPE小插件 ,下载(或鼠标右键另存为)

用它来DUMP ARM COPYMEMII的程序,非常酷。
很多朋友不知如何使用现附上使用方法
先把插件放在LOADPE的LDE目录下(没有这个目录的就自己建)
用OD打开要脱壳的程序我这里以一个自缟小程序为例:
下断BP WaitForDebugEvent,断下后看堆栈:
0012DAC0   004AAD67  /CALL to WaitForDebugEvent from ScreenCo.004AAD61
0012DAC4   0012EB84  |pDebugEvent = 0012EB84
0012DAC8   000003E8  Timeout = 1000. ms

在内存区定位在12eb84处这样好看OEP。
清断后再bp WriteProcessMemory,F9后看看
0012D960   004AEC6E  /CALL to WriteProcessMemory from ScreenCo.004AEC68
0012D964   0000005C  |hProcess = 0000005C (window)
0012D968   00484000  |Address = 484000
0012D96C   00CF3FF0  |Buffer = 00CF3FF0
0012D970   00001000  |BytesToWrite = 1000 (4096.)
0012D974   0012DA7C  pBytesWritten = 0012DA7C

这里就是把缓冲区cf3ff0处的代码共1000H字节写进484000处,OEP也在附近了
0012EB84  01 00 00 00 00 05 00 00 E0 02 00 00 01 00 00 80  ......?....
0012EB94  00 00 00 00 00 00 00 00 A0 40 48 00 02 00 00 00  ........燖H....
0012EBA4  00 00 00 00 A0 40 48 00 A0 40 48 00 00 47 12 81  ....燖H.燖H..G
OEP为4840a0
现在我们要做两件事一要改OEP为死循环二要NOP掉加密CALL
1。改OEP,可以用PUPE改也可以在缓冲区直接改,我用后一种CTRL+G,输入 00cf3ff0+0a0 (这里CF3FF0是缓冲区开始处,0a0=4840a0-484000,前面加个0防止OD判断为负数),定位到这里
00CF4090    55              PUSH    EBP
00CF4091    8BEC            MOV     EBP, ESP
00CF4093    83C4 F0         ADD     ESP, -10
00CF4096    B8 A03E4800     MOV     EAX, 483EA0
00CF409B    E8 D01CF8FF     CALL    00C75D70

这就是程序OEP处的代码了,558B改为EBFE
2,NOP掉加密CALL,老版可用ALT+K找新版可在STACK往下找找就可以了这里有这样一句:
0012D960   004AEC6E  /CALL to WriteProcessMemory from ScreenCo.004AEC68
0012D964   0000005C  |hProcess = 0000005C (window)
0012D968   00484000  |Address = 484000
0012D96C   00CF3FF0  |Buffer = 00CF3FF0
0012D970   00001000  |BytesToWrite = 1000 (4096.)
0012D974   0012DA7C  pBytesWritten = 0012DA7C
0012D978   00000009
0012D97C   00000839
0012D980   0012F590
0012D984   00000000
0012D988   00000000
0012D98C   00000000
0012D990   00000000
0012D994   00000000
0012D998   00000000
0012D99C   00000000
0012D9A0   00000000
0012D9A4   00000000
0012D9A8   00000000
0012D9AC   00000000
0012D9B0   00000000
0012D9B4   00000000
0012D9B8   00000000
0012D9BC   00000000
0012D9C0   00000000
0012D9C4   00000000
0012D9C8   00000000
0012D9CC   00000000
0012D9D0   00000000
0012D9D4   00000000
0012D9D8   00000000
0012D9DC   00000000
0012D9E0   00000000
0012D9E4   00000000
0012D9E8   00000000
0012D9EC   00000000
0012D9F0   00000000
0012D9F4   00000000
0012D9F8   00000000
0012D9FC   00000000
0012DA00   00000000
0012DA04   00000000
0012DA08   00000000
0012DA0C   00000000
0012DA10   00000000
0012DA14   00000000
0012DA18   00000000
0012DA1C   00000000
0012DA20   00000000
0012DA24   00000000
0012DA28   00000000
0012DA2C   00000000
0012DA30   00000000
0012DA34   00000000
0012DA38   00000000
0012DA3C   00000000
0012DA40   00000000
0012DA44   00000000
0012DA48   00000000
0012DA4C   00000000
0012DA50   00000000
0012DA54   00000000
0012DA58   3255BC34
0012DA5C   00CF4FF0
0012DA60   00CF4FF0
0012DA64   000000E3
0012DA68   00000000
0012DA6C   00000020
0012DA70   00484000  ScreenCo.00484000
0012DA74   00000020
0012DA78   00CF4FF0
0012DA7C   00001000
0012DA80   00CF4FF0
0012DA84  /0012DAB8
0012DA88  |004AD8DC  RETURN to ScreenCo.004AD8DC from ScreenCo.004ADC24
0012DA8C  |00000083

看到后面那个RETURN了吧,这就是加密CALL所在在那里右键———FOLLOW IN DESASMBLER到这里
004AD8D7   .  E8 48030000   CALL    004ADC24     (这就是解码CALL)                    ;  ScreenCo.004ADC24
004AD8DC   >  83C4 0C       ADD     ESP, 0C     (返回到这)
我们搜索另一个call 004adc24,在这里:
004ADBAB   .  50            PUSH    EAX
004ADBAC   .  E8 73000000   CALL    004ADC24                         ;  ScreenCo.004ADC24

把4adbac处NOP掉,清除所有断点然后F9运行这样就可以用LOADPE来DUMP了
用LOADPE选中子进程,右键———选择脱壳引擎------armadmp,然后再在子进程右键--完全脱壳
OK,你已经成功DUMP了,记得要把OEP代码改回来
经测试在2000/XP都可以成功DUMP。98没试过因为我们这已经没有用98的机子了。