手脱实现双进程标准保护ArmaDillo壳.docxVIP

穿山甲壳的一个重要特点就是： 寻找OEP本身不难，但Armadillo会对IAT进行加密处理，导致后面dump出的内容无效，因此寻找OEP之前，需要绕过IAT的加密处理，以后dump后才能方便地用ImpRec修复。 程序名为notepad.exe，运行后有两个notepad.exe进程。原理大概是互相通过一个Mutex来通讯检测对方是否存在。OD中可以通过手动汇编的方式进行双变单。 此样本运行后有两个进程。双进程保护。。。。 1 OD加载程序，对OpenMutexA函数下断，F9运行 2 观察栈 3 手动汇编，使进程由双变单 Ctrl+G 定位到地址，手动输入汇编代码： Pushad Pushfd Push 0012FDD8 Xor eax,eax Push eax Push eax Call CreateMutexA Popfd Popad Jmp OpenMutexA 截图如下： 然后在出 新建EIP ，程序从此处运行 Jmp OpenMutexA 处跳到OPenMutexA函数处 取消OpenMutex断点，消修改的代码，恢复原状 接下来在系统空间内对 GetModuleHandleA 函数下硬件执行断点 He api F9 1次： 0012E79C 77C079B2 /CALL 到 GetModuleHandleA 来自 77C079AC 0012E7A0 77BE31BC \pModule = kernel32.dll F9 2次： 0012E61C 74683C4E /CALL 到 GetModuleHandleA 来自 MSCTF.74683C48 0012E620 0012E624 \pModule = C:\WINDOWS\system32\ntdll.dll F9 3次： 0012E624 74683C4E /CALL 到 GetModuleHandleA 来自 MSCTF.74683C48 0012E628 0012E62C \pModule = C:\WINDOWS\system32\imm32.dll F9 4次： 0012E570 74683C4E /CALL 到 GetModuleHandleA 来自 MSCTF.74683C48 0012E574 0012E578 \pModule = C:\WINDOWS\system32\KERNEL32 F9 5次： 0012ECFC 7365D4BA /CALL 到 GetModuleHandleA 来自 msctfime.7365D4B4 0012ED00 0012ED04 \pModule = C:\WINDOWS\system32\ntdll.dll F9 6次： 0012EE64 5D175324 /CALL 到 GetModuleHandleA 来自 5D17531E 0012EE68 5D175370 \pModule = kernel32.dll F9 7次： 0012EF24 77F45CD0 /CALL 到 GetModuleHandleA 来自 77F45CCA 0012EF28 77F4501C \pModule = KERNEL32.DLL F9 8次： 0012F73C 00433EF3 /CALL 到 GetModuleHandleA 来自 练习用NO.00433EED 0012F740 \pModule = NULL F9 9次：（时间稍长） 00BB6DF3 /CALL 到 GetModuleHandleA 来自 00BB6DED 0012952C 00BCBC1C \pModule = kernel32.dll 00BCCEC4 ASCII VirtualAlloc F9 10次： 00BB6E10 /CALL 到 GetModuleHandleA 来自 00BB6E0A 0012952C 00BCBC1C \pModule = kernel32.dll 00BCCEB8 ASCII VirtualFree F9 11次： 0012928C 00BA5CE1 /CALL 到 GetModuleHandleA 来自 00BA5CDB 001293DC \pModule = kernel32.dll Ok Alt+F9 回到程序领空 以下寻找OEP有两种方法 一是