软件名称: HyperSnap-DX V6.00 Beta 5
下载页面: http://www.skycn.com/soft/2269.html
软件大小: 3246 KB
软件语言: 英文
软件类别: 国外软件 / 共享版 / 图像捕捉
应用平台: Win9x/NT/2000/XP
加入时间: 2005-11-24 14:04:34
下载次数: 281493
开 发 商: http://www.hyperionics.com/
软件介绍: HyperSnap-DX 是个屏幕抓图工具,它不仅能抓住标准桌面程序还能抓取 DirectX, 3Dfx Glide 游戏和视频或 DVD 屏幕图。本程序能以 20 多种图形格式(包括:BMP, GIF, JPEG, TIFF, PCX 等)保存并阅读图片。可以用热键或自动记时器从屏幕上抓图。功能还包括:在所抓的图像中显示鼠标轨迹,收集工具,有调色板功能并能设置分辨率,还能选择从 TWAIN 装置中(扫描仪和数码相机)抓图。
无聊时做个简单的Armadillo脱壳教程,希望能对大家有点用处。
—————————————————————————————————
一、OEP
HyperSnap-DX是Armadillo单进程标准壳,但是使用了Code Splicing和Import Table Elimination保护选项,正是一个好的试炼目标。
设置OllyDBG忽略所有异常选项,去掉以前的所有断点,载入HprSnap6.exe,运行Armadillo V4.0-V4.4.Standard.Protection.osc脚本
http://www.unpack.cn/viewthread.php?tid=1762
脚本运行完毕后自动暂停在OEP
—————————————————————————————————
二、Import Table Elimination
看看输入表,很明显使用了Import Table Elimination选项,
004F01B6 FF15 687D3800 call dword ptr ds:[387D68]; kernel32.GetVersion,数据窗口跟随387D68:
003871EC 001807C8 <-- IAT Start
003871F0 77D1F807 USER32.DrawEdge
003871F4 7C8237BA kernel32.GetProcessTimes
00387F78 770F4C3B OLEAUT32.SysStringLen
00387F7C 00E1731A <-- IAT End
IAT Size=00387F7C-003871EC=D90
—————————————————————————————————
三、Code Splicing
HyperSnap还使用了Code Splicing
0040100A 56 push esi
0040100B 33F6 xor esi,esi
0040100D 57 push edi
0040100E 890B mov dword ptr ds:[ebx],ecx
00401010 33FF xor edi,edi
00401012 E9 E9EF2F01 jmp 01700000
//跳向壳区段
—————————————————————————————————
四、修复
当然,Code Splicing和Import Table Elimination的具体数据要看你的调试器里面显示下面来使用ArmInline V0.71修复,图示如下:
ArmInline修复完毕后就可以用LordPE来dump进程了,用ImportREC修复输入表图示如下:
注意:我没有使用“新增区段”选项,而是把输入表放在0024AB00空白处,当然也可以放在其他空白处。
最后脱壳文件的优化可以参看《Armadillo客户版Code Splicing+Import Table Elimination的简便修复方法》
http://www.unpack.cn/viewthread.php?tid=1687
, _/
/| _.-~/ \_ , 青春都一晌
( /~ / \~-._ |\
`\\ _/ \ ~\ ) 忍把浮名
_-~~~-.) )__/;;,. \_ //'
/'_,\ --~ \ ~~~- ,;;\___( (.-~~~-. 换了脱壳轻狂
`~ _( ,_..--\ ( ,;'' / ~-- /._`\
/~~//' /' `~\ ) /--.._, )_ `~
" `~" " `" /~'`\ `\\~~\
.fly.教程打包下载
BTW:输入表修复教程中还留了点问题,自己去练习时看吧
