The023. 初探脱壳，ACProtect壳[Stolen Code]

chuiyan121

The023. 初探脱壳，ACProtect壳[Stolen Code]
关于脱壳的记录，已有大牛教科书式帖文了，我就按照自己的习惯记录下来，如有疑问欢迎交流指正。^_^

1、PEiD查壳，UltraProtect 1.x -> RISCO Software Inc.（UltraProtect这个名称是ACProtect的前身）


2、OD载入，设置异常选项卡如下图。


最后一次异常法，2次跑飞，重载Shift+F9一次，堆栈窗口SE句柄处数据窗口跟随，数据窗口下内存访问断点。


Shift+F9运行，F2断点，再Shift+F9运行，再F2，再Shift+F9运行到如下地址，删除内存访问断点和两个F2断点。


运行到retn处，Alt+M打开内存映射窗口，在00401000处下F2断点。


Shift+F9运行，直接跳转到假OEP，发现入口代码有缺损。


重载OD后运行到上面retn处，Ctrl+T设置条件，push ebp是入口的第一行代码。


Ctrl+F11跟踪步入，一段时间后程序自动跟踪到偷窃的代码处。发现3行被偷窃代码，二进制复制到剪切板。
复制的二进制代码为：55 8B EC 83 EC 44，一共6个字节。


Alt+M打开内存窗口，在00401000处下F2断点，Shift+F9运行，到了假OEP，向上翻，需要填充6个字节。


选择6个字节，粘贴复制的二进制内容。


在004010CC处设置新的EIP，此时偷窃的代码已补充完毕。


3、LordPE修正镜像大小，完整转存，ImportREC修复（打开原带壳程序用插件修复）。


查询无壳，程序正常运行。

ＭisＳ

大佬工具发一下呗，新人想练练手