Armageddon中文版提供编译功能,支持分析Nanomites固定器、分析Nanomites静态转储、分析Nanomites动态过程,您只需要将程序添加到软件就可以开始调试,软件界面操作简单,提供多种设置功能,点击左上角的“动物图片”就可以弹出应用程序添加界面,将EXE或者是dll添加到软件就可以开始设置编译方案,支持重定向CS、支持转储.pdata,也可以选择阻止程序调试,界面的功能都可以在官方提供的帮助文件中查看!
软件功能
1.完全可定制的配色方案;
2.动态识别模块和串;
3.进口重构集成(青蟹);
4.快反汇编(BeaEngine);
5.用户数据库(JSON)征求意见,标签,书签等。
6.不断增长的API插件的支持;
7.可扩展的,可调试的脚本语言自动化;
8.多数据类型的内存转储;
9.基本调试符号(PDB)的支持;
10.动态堆栈视图;
11.内置汇编(XEDParse);
12.查看你的补丁,并将它们保存到磁盘;
13.内置的十六进制编辑器;
14.查找内存模式;
软件特色
标准保护
最低保护
内存补丁
Debugblocker
CopyMemII
进口消除
导入重定向(仿真)
战略规范拼接
Nanomites
随机PE部分名称
使用覆盖的Shockwave Flash +应用程序(最小化尺寸选项)
硬件锁定(标准/增强指纹支持)
DLL支持:
需要包含dll loader.exe才能加载目标dll
完全导入重建:
ARTeam Import Reconstructor ARImpRec.DLL - 由Nacho_dj发布的1.8.0 Beta。
Nanomites:
Armadillo Nanomites Fixer v1.2 [公开发布]和NeVaDa的ArmNF.dll版本1.2,内部支持。
官方教程
主GUI对话框
主gui对话框有(4)主要组件:
1)按下“犰狳”图片(左上角)打开文件对话框;右侧的选项组框
2)日志窗口显示正在运行的进程的结果(右)
3)选项组包括Nanomites,Detach,Log,Options和Hardware Fingerprint
4)Armageddon刷新,帮助和关于(底部,左下)
通常,您应该在打开目标之前预先选择选项。使用第三方工具(即Peid,ArmaDetach,ArmadilloFindProtected或较新的Armadillo Key Tool)分析目标应用程序有助于确定版本/功能/保护选项。通过这种方式,您将了解此工具是否支持目标应用程序,以及是否需要分析纳米颗粒等。
*对于nanomites(Nanomites Fixer),您将需要使用至少2个步骤来转储应用程序,分析并保存纳米级,然后在修补转储的文件或内存之前加载保存的* .anf文件。
选项
选项组框可用于:
加载以前保存的Armageddon选项初始化文件(* .ini)
保存当前的Armageddon选项初始化文件(* .ini)
Cmdline打开一个对话框,该对话框将接受在执行之前传递给程序的任何命令行参数:
注意:必须明确使用初始化选项。 (即,首次加载Armageddon时未加载选项(* .ini)文件,也未选择目标应用程序文件,也不会自动保存选项文件)。强烈建议在打开目标应用程序之前使用此功能,或者在需要时“刷新”会话之后立即使用此功能。手动编辑初始化文件需要您自担风险!
在解压缩之前对具有类似选项要求的应用程序进行分组时,此功能特别有用。可以根据需要使用通用或特定于应用程序的初始化文件。
刷新
按此按钮重新执行当前应用程序,启动新会话(刷新),而不必每次都重新启动(重启)Armageddon,或者只是重置选项。
将终止当前应用程序(如果存在),并清除日志窗口。 所有选项和内部变量都将初始化为其默认值。
注意:如果要将日志保存到文件,请在按(选择)此选项之前按“保存”日志文件!
如果通过Nanofixer重新分析目标转储,则需要重新启动Armageddon!
对于较新版本的Armadillo,可能需要重新启动此工具!
日志窗口
日志窗口显示有关目标进程的所有相关信息。 操作系统信息,日期时间,可执行文件的名称,EnumWindows(隐藏* Arma *窗口),进程ID,过程中遇到的保护选项(纳米级除外)和结果。 在提示转储目标进程(按OK)后,日志将显示导入重建的结果。
对于具有纳米级的目标,日志窗口将显示分析/记录作为单独实例启动的过程的纳米级的结果。
使用日志窗口作为解压缩/修复目标进程成功或失败的指南。
(可选)您可以使用日志组中的“保存”“清除”按钮保存日志或清除日志。
还有一个新的上下文菜单(右键单击“日志”窗口中的任意位置)以交替选择列表框中的所有文本项,清除列表框中的所有文本项,或者在列表框中选择文本项并将它们复制到剪贴板。
转储消息框
当目标进程达到原始应用程序的假定OEP时,将出现一个消息框,提示您保存“确定”或“取消”该操作。如果您不希望转储目标进程(即您正在分离,分析或记录纳米组织)或已经转储了文件,请按“取消”。
按“确定”后,系统将提示您保存文件对话框。目标进程被转储到磁盘。此时,尚未解决任何导入。保存转储文件后,它们将自动重建。
*很重要。请注意此消息框中显示的警告消息。在大多数情况下,您将看到上面的消息“未发出警告”,但对于dll文件和许多在PE头中具有.itext部分的Delphi应用程序,您将收到警告,指示OEP未直接从犰狳VM。 (参见下图)对于dll,您可以忽略这些消息,但对于其他应用程序,您可能必须选择忽略第二个文本部分或绕过第二个文本部分,具体取决于程序和copymemII功能的包含
Nanomites
处理纳米石有(3)种选择。
用于分析和记录纳米颗粒的单选按钮是互斥的(即您只能随时选择一个)。每种选择都有其优点和缺点。
1.使用内置的Armadillo Nanomites Fixer v1.2(公开发布)dll。
系统会自动提示您将任何分析保存到* .anf文件以供后续修补/查看。
另请参见本分发中的特殊工具Armadillo Nanomites Fixer v1.2(公开发布)以及使用注意事项!
使用此功能非常简单,与独立版本类似。只需选择该选项即可。如果您已经创建了转储文件,只需忽略“准备转储”消息框并按“取消”继续分析和处理纳米工程。
NanoFixer的错误消息:
没有找到真正的纳米石膏,未知错误。
未找到0xCC操作码,未找到INT3断点。
无法打开文件,文件头已损坏。
无法打开流程。
VirtualAlloc失败。
加载的.anf文件不匹配。
注意:如果在30秒后发现很少或没有活动,系统将提示您输入消息:
按“确定”继续处理。也许纳米粒子包含在一些尚未加工的功能中。按“取消”以中止分析功能,并显示以下消息:
30秒内不到5%和/或没有活动
检查多个实例,防病毒运行。
分析纳米沸石中止,请稍后再试......
2.分析静态(目标)转储中的所有纳米颗粒。在转储和重建目标之后,此选项会反汇编第一个文本部分中的所有指令,记录所有可能要考虑分析的纳米颗粒。如果您已经创建了转储文件,只需忽略“准备转储”消息框并按“取消”继续分析和处理纳米工程。可能需要运行此选项2次或更多次,因为在分析和解析纳米颗粒时,由于代码的反混淆,这可能会导致新的纳米颗粒。完成后,系统会自动提示您将分析保存到* .anf文件中。此时,您可以解析“Patch Dump”转储或稍后加载已保存的* .anf文件以修补目标转储或内存进程。
3.从正在运行的进程中动态记录纳米组织。对于困难目标,这可能是您最好的第一选择。启动目标的单独实例。当纳米石被击中时,它们会被记录在桌子上。该表存储了独特的纳米分子。当其他2个选项无法检测到所有“真实”纳米颗粒时,此功能可能很有用。当您完成日志记录(即退出应用程序)后,程序将自动分析日志表中的每个纳米级,生成要保存和/或用于修补转储或进程的分析文件。
保存nanomites文件后,可以在需要“Patch Dump”之前随时通过“Load * .anf”按钮加载。
“查看器”按钮将允许查看所有已处理的“已分析”* .anf纳米级以供查看。
注意:* .anf文件的格式与先前的* .nan格式不同。因此,先前版本中的外部纳米石观察器不兼容。
分离(仅限调试阻止程序+ copymemII)
您可以通过选择分离类型的单选按钮(DebugBlocker与CopyMemII)来选择从正在运行的子进程中分离。它们是相互排斥的。
你有2个选择:
调试阻止程序
CopyMemII
在世界末日发出分离信息后,请勿在分离时关闭ARMAGEDDON!在调用Armageddon之前,请确保没有其他目标进程实例正在运行。
使用此选项后,您可能必须手动终止任何“活动”目标进程!
您可以在分离之前选择解析纳米粒子(仅限copymemII)。很有用!!系统将提示您这样做,并且您必须先将* .anf文件保存到内存中的Resolve nanomites。
将出现一个消息框,要求“解决纳米分子继续?”
按确定以解决或取消以绕过此功能。
Nanomites将直接解析(修补)到目标进程的内存。
在父进程启动子进程后立即发生调试阻止程序。这是子进程的入口点。 Armageddon将使用DebugProcessStop API动态分离子进程。
如上所示,您将获得调试阻止程序的入口点(copymemII的OEP),附加后必须恢复的原始字节以及要附加到的子进程ID。
已为日志窗口添加了上下文菜单。您可以选择选择一行文本(在上面的示例中,我们可以选择原始字节,将它们复制到剪贴板并在附加后将它们粘贴到我们的调试器中)。您可以选择所有列表框项目,清除所有列表框项目,选择,清除和/或复制所选项目。
如果子进程的代码(.text)部分已加密,则通常会选择CopyMemII。除了处理任何导入消除和重定向,代码拼接等之外,Armageddon还将解密代码段的所有代码页(一次1000个字节),然后使用DebugActiveProcessStop API分离子进程。如果您只想在子进程的OEP处分离,也可以选择使用CopyMemII。
分离后,您可以使用外部调试器的新实例(即Ollydbg)附加到子进程。 Armageddon提供附加的子进程和需要修补的原始字节。
*注意:某些目标可能难以分离/附加。
更新日志
此(v2.2)版本中包含以下更新:
新BeaEngine.dll替换RDisasm.dll以反汇编指令。
Win 7支持32位应用程序。
窗口标题(EnumWindows)自动提供隐藏窗口支持。
Armadillo版本支持已被删除
∨ 展开