学习脱壳穿山甲Armadillo 4.30a 的详细笔记

文章预览

需要用到的工具，Xp虚拟机，ArmaFP（查看壳的版本），dillodie1.6（脱壳机），吾爱OD，IDA8.3，脱壳程序（见附件），Beyond Compare（比较工具），LordPE，improtRec。 一 了解 Code Splicing 首先将脱壳程序GameJack.exe拖到打开的ArmaFP32中。 可以看到保护设置只有Strategic Code Splicing ，中文意思就是叫做代码拼接，刚看到这个意思表示有疑问，网上搜了一大堆都是讲怎么处理，没有讲他的实现是怎么样的，于是我用MASM32写了一个非常简单的小程序让Armadillo 4.4加壳，保护设置只选Code Splicing。 00401031 E9 CA 4F 0D 00 jmp loc_4D6000 ; WinMain函数头，Jmp后面的地址在脱壳后新加的区段， 00401031 sub_401031 endp ; 未脱壳的话是在壳程序申请的一段内存中， 00401031 ; 对付 Code Splicing 就要把这段代码拷贝到 00401031 ; 我们程 ………………………………