I. Introduction:

 

Về phương pháp Unpack Armadillo 4.xxthì loạt Tut của anh Hacnho đã chỉ dẫn rất cặn kẽ.  Nhưng để thành công thì bạn cần có sự kiên nhẫn và lòng đam mê.  Hôm nay, Em xin giới thiệu các tool có sẵn để Unpack nhanh các Soft pack bằng Armadillo mà ko cần phải OllyDBG với nhiều câu lệnh phức tạp mà vẫn thành công.  Tut này viết giành riêng cho Newbie nên mấy đại ca Try Arma bỏ qua hen!! Hiện nay, chúng ta tạm có 2 tool hỗ trợ Unpack Armadillo đó là:

 

ArmaDumper 1.0 by Avatar:
tool này hỗ trợ unpack dạng Standard Protection+ Code Splicing+ IAT Elimination lâu lâu còn luộc được Debug blocker Nhưng với Copy Mem IIthì bó tay hoàn toàn

ArmadilloDumpers by Deroko: 

Còn Tool này thì Đã lém các Bác xem:

 

Debug Blocker and Copy Mem II dumpers

                        

dumper1.exe - Debug Blocker oep locator and import fixer

dumper2.exe - Copy Mem II dumper and import fixer

 

If you have codesplices or Eliminated IAT use ArmInline to fix em.

 

Both dumpers are console applications.

 

usage:

dumper1 progy.exe

dumper2 progy.exe

 

II. Tools:

 

·        Tool cần dùng

§        Armadillo FindProtected V1.2

§        ArmadilloDumpers by deroko

§        ImportREC 1.6

§        ArmInline v0.95

§        PEiD 0.94

§        CFF Explorer IV

§        OllyDGB 1.1

·        Target: 

Ace Utilitie 3.0 (Standard Protection)
hxxp://www.acelogix.com/



Automation Anywhere 2.52 (CopyMemII + Debugblocker+ Nanomites)
hxxp://www.tethyssolutions.com/

                

 

III. Unpacking:

 

#TUT1: Sử dụng ArmaDumper 1.0 by Avatar

 

_ Đầu tiên chúng ta sử em Ace Utilitie 3.0. Dùng PEiD 0.94 quét coi Soft có bị pack hay ko và pack loại nào?

 

 

_Như vậy là ta đã xác định được Soft được Pack bằng Armadillo. Để biết chính xác trong File Pack có tùy chọn Standard Protectionhay CopyMemII + Debugblocker…để biết đường mà unpack thì chúng ta dùng Armadillo FindProtected V1.3

 

 

_Hehe dạy là Cu này chỉ cóStandard Protection. Nói thêm, Tool này còn có khả năng Detach Debugblocker (nếu có) giống ArmaDetach 1.1.

_Giờ thì chạy ArmaDumper 1.0 và chọn như hình dưới

 

 

 

_ và chọn file “au.exe”

 

 

_Haha…ArmaDumper đã xử lý dùm ta công việc nhàm chán là Patch Magic Jump để có bản IAT Full.

 

 

_Giờ thì mở thêm ImportREC, chọn PID cho chính xác và điền OEP=0007BFBA, Nhấn IAT AutoSearch

 

 

_ nhấn Get Imports à Show Valid

 

 

_Nhấn Chuột phải chọn như hình

 

 

_Nhấn Fix Dump chọn File “Unpacked.exe” và chạy thử File” Unpacked_.exe”

 

 

_Hehe, dạy là sao… ta cần nhớ dòng thông báo này …huhu Load File Unpacked_.exe vào Olly và ta dừng ở đây

 

 

_Nhấp chuột phải chọn như hình dưới

 

 

_Tìm chuỗi “ Is the Program protected” và chúng ta ở đây

 

 

_Nhấp đôi vào dòng đó ta tới đây:

 

 

_Nhìn lên trên có 1 lệnh nhảy và ta patch nó như sau:

 

 

_Save File và đặt tên là Fix_unpacked.exe

 

 

_Chạy thử File Fix_unpacked.exe. File chạy tốt… Trong quá trình unpack ta đã  bypass luôn cái Nag . Unpack Done…

 

 

#Tut2:Defeat CopyMemII với ArmaDumpers by Deroko

 

_giờ ta làm thịt tiếp Automation Anywhere 2.52 

 

_Dạy là cu này có Debug-Blocker + CopyMem-II + Enable Nanomites Processing + Enable Memory-Patching Protections

 

_Ta có 2 File:

dumper1.exe - Debug Blocker oep locator and import fixer

dumper2.exe - Copy Mem II dumper and import fixer

 

vì Target  này có Copy Mem II nên ta chọn  Dumper2.exe.  Copy Dumper2.exe vào cùng thư mục của Target

 

 

_đánh dòng lệnh sau

 

 

_Nhấn Enter ta có 2 cửa sổ sau:

 

 

_Nhấn “Try It” để tiếp tục

 

 

_hehe dạy là ta đã Defact được CopymemII gòi.  Đừng nhấn OK vội, Giờ thì mở thêm ImportREC, chọn PID cho chính xác và điền OEP=00010074, Nhấn IAT AutoSearch àGet Imports à Show Valid

 

_ Chọn Show Valid->Cut ThunK(s) , Nhấn Fix Dump chọn File Dumped.exe.

_Tới đây cũng đừng nhấn OK vội vì chúng ta cần Fix Nano nữa!  Chạy thử File Dumped_.exe

 

 

_Ko có gì quan trọng chép File “ArmAccess.dll” vào cùng thư mục là OK thôi.  Chạy lại File Dumped_.exe xem.  Haha chạy thẳng vào giao diện chính ko có cái NAG nhắc nhở nào… Tiếp theo bạn làm như hình dưới

 

 

_Bị Crash ngay…haha…theo kinh nghiệm cho thấy đó chính là dấu hiệu của Nano. 

 

_ Bật ArmInline lên chọn PID cho đúng

 

 

_Nhấn Locate

 

 

_Nhấn “Try It” để tiếp tục và làm tiếp như hình dưới

 

 

_Bên cửa sổ của ArmInline ta thấy như sau:

 

_nhấn Repair Dump và chọn File Dumped_.exe, chạy File dumped_ NanoFix.exe và ta thấy

 

 

_Yeah!!!!! Unpacked successfull… Còn về phần Cracking mấy Bác tự xử đi…em ko biết gì đâu à nha!!!!!  Nếu các bạn muốn giảm dung lượng File dumped_ NanoFix.exe thì chúng ta có thể Delete bớt mấy các Section tàn dư của Arma còn vương vấn lại

 

 

_Sau khi Xóa

 

 

_Run thử vẫn chạy ngon lành…Good…       

 

 

GrEeTs Fly Out: Computer_Angel, Zombie, Moonbaby, Hacnho, Benina, kienmanowar, Zoi, Deux, Merc, Trickyboy, Takada, iamidiot, light phoenix, thienthandien, VolX … and you!

 

Nha Trang, Ngày 5 tháng 5 năm 2006

      Why Not Bar