记录一次 Armadillo Pro Version v9.64 脱壳

tie1zhu

记录一次 Armadillo Pro Version v9.64 脱壳

---

Armadillo （穿山甲壳）是有名的强壳，我在飘云阁看完了Rooking的Armadillo脱壳视频，号称通杀Armadillo所有版本，照猫画虎，复现成功，原理一点不懂，仅仅记录一下整个步骤。

之前写了一篇： 记录一次 Armadillo 6.0x - 7.0 脱壳 - 吾爱破解 - 52pojie.cn 。现在再写一篇类似的   Armadillo Pro Version v9.64  ：  Print2Flash5（Print2Flash 商业版本 5.2） 。

---

目录

第一部分：准备。

第二部分：寻找OEP。

第三部分：收尾。

---

工具

• Windows XP虚拟机。
• ExeInfo PE：查壳工具。
• 吾爱破解 OllyDbg：调试程序，寻找OEP。
• LordPE：抓取内存映像【dump】。
• ImportREConstructor：重建输入表。

下文中的演示文件是  Print2Flash5（Print2Flash 商业版本 5.2）   。http://www.print2flash.com/intl/zh-cn.php#download

---

第一部分：准备。

• 双击附件里面的安装包，在XP虚拟机安装 Print2Flash5 。安装的时候，不要设定为默认软件，不然会安装失败。安装后我把 Print2Flash5.exe 复制到win11系统里面查看属性，产品版本如下 （0-1）
  
• ExeInfo PE 查壳  print2f5.exe   ：Armadillo Pro Version v9.64 [ Private build stub ] 06-09-2013 - siliconrealms.com    *ACM 。（0-查壳）
  
• 复制附件里面的ArmAccess.dll到目标主程序  print2f5.exe   所在的目录。
• 双击打开OllyDbg，Ollydbg-调试选项-忽略所有异常 。重新配置 插件-StrongOD-Options ，只勾选 HidePEB、!Kill BadPE Bug、Skip Some Exceptions、showBar、Break on Tls 。（1-1，1-2）
  

第二部分：寻找OEP。

• OllyDbg载入PIMOne.exe ，Ctrl+G转到VirtualProtect，在结尾的retn 10下断；Ctrl+G转到CreateThread，在结尾的 retn 18下断；（1-3，1-4，1-5，1-6）
  
• 不断F9运行（大约10次），并观察堆栈，当堆栈第二行是 00401000  print2f5.00401000 的时候停下。
• 00129048   01269D87  返回到 01269D87 来自 kernel32.VirtualProtect
  0012904C   00401000  print2f5.00401000
• （1-7）
  
• 单步F7返回到 01269D87    8B8D B0D4FFFF   mov ecx,dword ptr ss:[ebp-0x2B50]。
• 在这一行，右键-数据窗口跟随-选择。（1-8）
  
• 在数据窗口， Ctrl+B查找ASCII码ArmAccess找到 3处。（2-1，2-2，2-3）
  
• 3次右键-二进制-编辑，把ArmAccess改成VrmAccess.（2-4，2-5，2-6）
  
• 多次交替（大约12轮）按F9、F7，直到出现红字（说明解码完成了）0126AEB9    6A 14           push 0x14。（2-7）
  
• 反汇编窗口Ctrl+B查找74??6800010000（"整个块"、"区分大小写"都不勾选）找到 。（2-8，2-9，3-1）
  
• 在下面的0126B15C    E8 AFFA0100     call 0128AC10，右键-跟随，把第一行汇编为retn。（3-2，3-3，3-4，3-5）
  
• F9运行，断下，禁用此断点，继续F9断下，也禁用此断点。F7返回。（3-6，3-7，3-8）
  
• 不断F8直到返回，直到第一个call寄存器，01271CE5    FFD2            call edx  ，F7进入即可到达OEP：0066370C    55              push ebp。 （4-1，4-2，4-3）
  

第三部分：收尾。

• 使用 LordPE，修正镜像大小，抓取内存映像【dump】。（5-1）
  
• 使用 ImportREConstructor，输入OEP：0026370C    = 0066370C    - 0040000，IAT自动搜索，获取输入表，使用跟踪级别一，剪切掉无效指针，重建输入表。（5-2）
  
• 运行成功。（5-3，5-4）
  
• 查壳，脱壳成功。（5-5）
  

xiangzz

大Z哥 发过patch keygen视频

royceren

完全看不懂，但是点个赞！

picoyiyi

太强了吧，感觉大佬思路很清晰

bigqyng

太强了吧，感觉大佬思路很清晰

Sh4DoW321

Thanks for sharing , Nice tutorial , so there is any tutorial for change enhanced fingerprint on version 9.6 ?

yasenhacker

xiangzz 发表于 2026-2-12 23:11
大Z哥 发过patch keygen视频

是否分享一下？

ningzhonghui

虽然是老壳 但难倒许多人，谢谢大佬分享