记录一次 Armadillo 6.0x - 7.0 脱壳

tie1zhu · 发表于 2026-2-12 00:38

本帖最后由 tie1zhu 于 2026-2-14 22:09 编辑

记录一次 Armadillo 6.0x - 7.0 脱壳

Armadillo （穿山甲壳）是有名的强壳，我在飘云阁看完了Rooking的Armadillo脱壳视频，号称通杀Armadillo4.x-9.x，照猫画虎，复现成功，原理一点不懂，仅仅记录一下整个步骤。

工具

Windows XP虚拟机。
ExeInfo PE：查壳工具。
吾爱破解 OllyDbg：调试程序，寻找OEP。
LordPE：抓取内存映像【dump】。
ImportREConstructor：重建输入表。

下文中的演示文件是 PIMOne6.0 。下载 PIMOne – 东日软件：https://www.sunisoft.cn/pimone/download[/color]

第一部分：准备。

双击附件里面的安装包，在XP虚拟机安装演示软件，产品版本如下。（0-1）

0-1.png (39.3 KB, 下载次数: 0)

下载附件

2026-2-12 17:02 上传
ExeInfo PE 查壳 PIMOne.exe ：Armadillo 6.0x - 7.0 (exe) 32bit。（0-查壳）

0-查壳.png (85.33 KB, 下载次数: 0)

下载附件

2026-2-12 00:34 上传
复制附件里面的ArmAccess.dll到目标主程序PIMOne.exe目录。
双击打开OllyDbg，Ollydbg-调试选项-忽略所有异常。重新配置插件-StrongOD-Options ，只勾选 HidePEB、!Kill BadPE Bug、Skip Some Exceptions、showBar、Break on Tls 。（1-1，1-2）

1-1.png (23.76 KB, 下载次数: 0)

下载附件

2026-2-12 00:34 上传

1-2.png (19.13 KB, 下载次数: 0)

下载附件

2026-2-12 00:34 上传

第二部分：寻找OEP。

OllyDbg载入PIMOne.exe ，Ctrl+G转到VirtualProtect，在结尾的retn 10下断；Ctrl+G转到CreateThread，在结尾的 retn 18下断；（1-3，1-4，1-5，1-6）

1-3.png (14.46 KB, 下载次数: 0)

下载附件

2026-2-12 00:34 上传

1-4.png (15.49 KB, 下载次数: 0)

下载附件

2026-2-12 00:34 上传

1-5.png (13.17 KB, 下载次数: 0)

下载附件

2026-2-12 00:34 上传

1-6.png (16.47 KB, 下载次数: 0)

下载附件

2026-2-12 00:34 上传
先全部禁止这两个断点，F9运行，出现试用弹窗，再激活这两个断点，再点OK，观察堆栈。（1-7，1-8）

1-7.png (10.05 KB, 下载次数: 0)

下载附件

2026-2-12 00:35 上传

1-8.png (9 KB, 下载次数: 0)

下载附件

2026-2-12 00:35 上传
单步F7返回到011AFD43 8B8D 28D8FFFF mov ecx,dword ptr ss:[ebp-0x27D8]。
在这一行，右键-数据窗口跟随-选择。（1-9）

1-9.png (19.41 KB, 下载次数: 0)

下载附件

2026-2-12 00:35 上传
在数据窗口， Ctrl+B查找ASCII码ArmAccess找到。（2-1，2-2，2-3）

2-1.png (17.05 KB, 下载次数: 0)

下载附件

2026-2-12 00:35 上传

2-2.png (16.41 KB, 下载次数: 0)

下载附件

2026-2-12 00:35 上传

2-3.png (11.77 KB, 下载次数: 0)

下载附件

2026-2-12 00:34 上传
2次右键-二进制-编辑，把ArmAccess改成VrmAccess.（2-4，2-5）

2-4.png (12.75 KB, 下载次数: 0)

下载附件

2026-2-12 00:34 上传

2-5.png (10.66 KB, 下载次数: 0)

下载附件

2026-2-12 00:34 上传
反汇编窗口Ctrl+B查找74??6800010000（"整个块"、"区分大小写"都不勾选）找到。（2-6，2-7，2-8）

2-6.png (16.86 KB, 下载次数: 0)

下载附件

2026-2-12 00:35 上传

2-7.png (15.42 KB, 下载次数: 0)

下载附件

2026-2-12 00:35 上传

2-8.png (20.35 KB, 下载次数: 0)

下载附件

2026-2-12 00:35 上传
在下面的call XXXXE450，右键-跟随，把第一行汇编为retn。（2-9，3-1，3-2）

2-9.png (11.86 KB, 下载次数: 0)

下载附件

2026-2-12 00:35 上传

3-1.png (11.8 KB, 下载次数: 0)

下载附件

2026-2-12 00:35 上传

3-2.png (11.66 KB, 下载次数: 0)

下载附件

2026-2-12 00:35 上传
F9运行，断下，禁用此断点，继续F9断下，也禁用此断点。F7返回。（3-3）

3-3.png (15.55 KB, 下载次数: 0)

下载附件

2026-2-12 00:35 上传
不断F8直到返回，向下翻到011B5345 FFD0 call eax ，选中这一行，F4运行到这一行，F7进入即可到达OEP。（3-4，3-5，3-6）

3-4.png (8.56 KB, 下载次数: 0)

下载附件

2026-2-12 00:35 上传

3-5.png (12.79 KB, 下载次数: 0)

下载附件

2026-2-12 00:35 上传

3-6.png (13.49 KB, 下载次数: 0)

下载附件

2026-2-12 00:35 上传

第三部分：收尾。

使用 LordPE，修正镜像大小，抓取内存映像【dump】。
使用 ImportREConstructor，输入OEP：0023374C = 0063374C - 0040000，剪切掉无效指针，重建输入表。
运行成功，脱壳成功。

wqipk · 发表于 2026-2-12 08:12

楼主太厉害了,我的印象还是穿山甲1.X脚本脱壳.现在都7.0版本了.

it7333 · 发表于 2026-2-12 14:17

太厉害了，向楼主学习

luckhu1 · 发表于 2026-2-12 14:44

很有意思，值得学习，感谢

renhe2022 · 发表于 2026-2-12 14:50

有点意思

帐号		自动登录	找回密码
密码			注册[Register]

[原创] 记录一次 Armadillo 6.0x - 7.0 脱壳

记录一次 Armadillo 6.0x - 7.0 脱壳

目录

工具

第一部分：准备。

第二部分：寻找OEP。

第三部分：收尾。

免费评分

浏览过的版块