新手脱壳——脱ACProtect 壳的另一种方式

zrhking · 发表于 2019-3-24 18:32

本帖最后由 zrhking 于 2019-3-24 18:44 编辑

新手脱壳——脱ACProtect 壳的另一种方式工具：吾爱破解OllyDbg、PEiD 0.95 、吾爱XP系统。
PEiD 0.95查壳：

OD设置：

开始：在OD最下面的command中输入：bp CreateFileA ，然后按一下回车：

确认断点已下；下一步：按Shift+F9；停在这里：

再按Atl+F9，返回，停在这里，此时将刚才下的bp CreateFileA断点删除（点下图的b，在弹出界面中删除断点），不删除断点会给终止：

接下来，按F8，单步向下走，来到这里：

不要让程序回跳，下面发现两个popad（关键位置）；这时将鼠标点到00434383 处，然后按F4；

光标走到00434383 处了。接下来用，内存镜像法：点菜单栏中的“查看”，下拉菜单中的“内存”，弹到下面界面，将鼠标点到地址：00401000 .text 代码处，然后按F2下断。

然后按Shift+F9；停在下图，到达OEP，但入口特征被隐藏，存在Stolen Code：

此时（以下内容参照黑鹰教程编写），关注堆栈，0012FFDC 00402C98 ASCII "VB5!6&vb6chs.dll 这个地址就是所需要：

再观察下图，这00401B4A 地址也是所需要的：

现在开始简单汇编：在00401B50 inc edi 处双击，然后输入push00402c98如图：

再在00401B55处双击，然后输入call00401B4A如图：

完成后如图：

接下来，开始Dump；

将入口点地址，修改为：1B50。然后点“脱壳“：

保存后，直接可以运行了。查壳：

学习分享到此结束。

zrhking · 发表于 2019-3-26 19:36

原加Acprotect壳文件

zrhking · 发表于 2019-3-26 19:42

52lxw 发表于 2019-3-26 17:16
希望楼主发下加壳文件

在后面附上传了，加壳文件了。第一次发贴，不怎么懂，见谅。好像自动要-1CB

52lxw · 发表于 2019-3-27 20:41

zrhking 发表于 2019-3-26 19:42
在后面附上传了，加壳文件了。第一次发贴，不怎么懂，见谅。好像自动要-1CB

感谢分享

血色天空 · 发表于 2019-3-26 11:02

谢谢楼主的分享

lanble · 发表于 2019-3-26 11:32

谢谢楼主的分享

zrhking · 发表于 2019-3-26 13:44

共同学习，共同进步。多思考，多调试。不懂到论坛找资料或百度搜资料，坚持就会进步。

liltn · 发表于 2019-3-26 15:23

谢谢楼主的分享

穿山甲的耿 · 发表于 2019-3-26 17:13

谢谢楼主的分享

52lxw · 发表于 2019-3-26 17:16

希望楼主发下加壳文件

Ruke905 · 发表于 2019-3-26 18:17

谢谢大佬的教学

帐号		自动登录	找回密码
密码			注册[Register]

[原创] 新手脱壳——脱ACProtect 壳的另一种方式