脱Armadillo 3.78 - 4.xx时，将到OEP，出错，请指点!!!

qjnan

软件名：Flash Optimizer v2.0.1.333

下载地址：http://www.crsky.com/soft/3002.html
1、查壳是：Armadillo 3.78 - 4.xx -> Silicon Realms Toolworks [Overlay]




2、是双线程的。线程名：fo2



3、我的操作：
①、单变双，下bp OpenMutexA。
②、Magic Jump，避开IAT加密，下he GetModuleHandleA+5

找到：
0131AEA7   /EB 03           JMP SHORT 0131AEAC(下硬件执行)
0131AEA9   |D6              SALC
0131AEAA   |D6              SALC
0131AEAB   |8F              ???                                      ; 未知命令
0131AEAC   \8B15 9CA13701   MOV EDX,DWORD PTR DS:[137A19C]

往上找到：
0131AD1A   /0F84 47010000   JE 0131AE67(把je修改为jmp)
0131AD20   |68 00010000     PUSH 100
0131AD25   |8D95 B8FDFFFF   LEA EDX,DWORD PTR SS:[EBP-248]
0131AD2B   |52              PUSH EDX


shift+F9，停在：
0131AEA7   /EB 03           JMP SHORT 0131AEAC


取消断点，撤销下列修改：
0131AD1A   /E9 48010000     JMP 0131AE67
0131AD1F   |90              NOP

③至此，打开内存镜像，找到00401000，下断，shift+F9，od报错(如下图)，不能往下了。






我试了好几回，都是到这里就出错，现在问题：
1、我查壳对吗？它是Armadillo 3.78 - 4.xx？
2、为什么会出现报错？我的操作对吗？

以上请指点!

[ 本帖最后由 qjnan 于 2008-11-6 10:17 编辑 ]

小生我怕怕

被检测到了你修改的magicjump,在闭开后撤消就可以啦!

hyperchem

内存检验了~

qjnan

我撤销了magicjump啊。

qjnan

那怎么办？我要如何操作？

lqiulu

这个程序是
!- Protected Armadillo
Protection system (Professional)
!- <Protection Options>
Debug-Blocker
CopyMem-II
Enable Memory-Patching Protections
!- <Backup Key Options>
Fixed Backup Keys
!- <Compression Options>
Best/Slowest Compression
!- <Other Options>
488FAF00 Version 6.05Alpha1 30-07-2008
要用非标准双进程模式脱才行哦。

[ 本帖最后由 lqiulu 于 2008-11-6 17:18 编辑 ]

qjnan

谢楼上的!非标准的怎么脱？请指教。

[ 本帖最后由 qjnan 于 2008-11-7 08:34 编辑 ]

hyperchem

用双转单是不行的，IAT和代码是在不同的进程中解码的~
要同时处理父进程和子进程

sinoers

原帖由 hyperchem 于 2008-11-7 15:33 发表
用双转单是不行的，IAT和代码是在不同的进程中解码的~
要同时处理父进程和子进程

版主就是不一样 :lol:

hyperchem

今天搞了一会儿 累死了~
程序是dump出来了，但是IAT还没有修复好~
这个貌似对Kernel.dll进行了优待 还没找到处理的地方~
其他加密的IAT用Magic Jump就可以跳过了~