1.载入PEID

ACProtect V1.4X -> risco

首先需要说明的是,这个壳被偷取的代码非常多,如果去找的话会比较麻烦,所以我们换一种另类的方法,不脱壳也可以使用资源修改器对程序进行修改。先来看下被偷取的代码

0040A41E >/$              push ebp

0040A41F  |.  8BEC          mov ebp,esp

0040A421  |.  6A FF         push -

0040A423  |.   C8CB4000   push 跑跑排行.0040CBC8

0040A428  |.   A4A54000   push <jmp.&MSVCRT._except_handler3>      ;  Entry address; SE handler installation

0040A42D  |.  :A1 >mov eax,dword ptr fs:[]

0040A433  |.              push eax

0040A434  |.  : >mov dword ptr fs:[],esp

0040A43B  |.  83EC        sub esp,

0040A43E  |.              push ebx

0040A43F  |.              push esi

0040A440  |.              push edi

0040A441  |.   E8       mov [local.],esp

0040A444  |.  33DB          xor ebx,ebx

0040A446  |.  895D FC       mov [local.],ebx

0040A449  |.  6A          push

0040A44B  |.  FF15 BCC24000 call dword ptr ds:[<&MSVCRT.__set_app_ty>;  msvcrt.__set_app_type

0040A451  |.              pop ecx

0040A452  |.  830D F0FF4000>or dword ptr ds:[40FFF0],FFFFFFFF

0040A459  |.  830D F4FF4000>or dword ptr ds:[40FFF4],FFFFFFFF

0040A460  |.  FF15 C0C24000 call dword ptr ds:[<&MSVCRT.__p__fmode>] ;  msvcrt.__p__fmode

0040A466  |.  8B0D D0FF4000 mov ecx,dword ptr ds:[40FFD0]

0040A46C  |.            mov dword ptr ds:[eax],ecx

0040A46E  |.  FF15 C4C24000 call dword ptr ds:[<&MSVCRT.__p__commode>;  msvcrt.__p__commode

0040A474  |.  8B0D CCFF4000 mov ecx,dword ptr ds:[40FFCC]

0040A47A  |.            mov dword ptr ds:[eax],ecx

0040A47C  |.  A1 C8C24000   mov eax,dword ptr ds:[<&MSVCRT._adjust_f>

0040A481  |.  8B00          mov eax,dword ptr ds:[eax]

2.载入OD,异常选项不勾选INT3选项,隐藏OD,吾爱官方现在的OD隐藏OD在strongOD里面,还是使用最后一次异常法shift+F9一次,第二次就会跑飞了,注意,这个壳对OD检测比较严格,所以可能需要多试几次才能成功,只要运行一次就是最后一次异常了,第二次就会跑飞了

3.最后一次异常的落脚点,落脚后堆栈窗口右键点SE句柄—数据窗口跟随,然后数据窗口下内存访问断点,然后shift+F9运行一次

0043D74D    CD            int 0x1                                  ; //F9落脚点

0043D74F                  inc eax

0043D750                  inc eax

0043D751    0BC0            or eax,eax

0043D753                jnz short 跑跑排行.0043D75A

0043D755                  nop

0012FEC8   0043D731  SE处理程序

0043D731  0C245C8B          //数据窗口跟随

4.落脚后,在落脚点下F2断点,然后shift+F9运行一次

0043D731    8B5C24 0C       mov ebx,dword ptr ss:[esp+0xC]           ; //落脚点

0043D735     B8000000 >add dword ptr ds:[ebx+0xB8],0x2

0043D73C    33C0            xor eax,eax

0043D73E    C3              retn

0043D73F    ::FF36  push dword ptr fs:[]

0043D745    ::  mov dword ptr fs:[],esp

0043D74B    33C0            xor eax,eax
 

5.落脚后再次再落脚点下F2断点,然后shift+F9运行一次

0043D781    8B048E          mov eax,dword ptr ds:[esi+ecx*]         ; //落脚点

0043D784    8B5C8E        mov ebx,dword ptr ds:[esi+ecx*+0x4]

0043D788    2BC3            sub eax,ebx

0043D78A    C1C0          rol eax,0x6

0043D78D    03C2            add eax,edx

0043D78F    81F2 80657CA3   xor edx,0xA37C6580
 

6.然后来到这里,先清除所有断点(两个F2断点,一个内存访问断点),然后F4运行到retn位置

0043D795    89048E          mov dword ptr ds:[esi+ecx*],eax         ; //落脚点

0043D798                  dec ecx

0043D799  ^ EB E1           jmp short 跑跑排行.0043D77C

0043D79B                  popad

0043D79C                  popad

0043D79D    C3              retn                                     ; //F4

0043D79E                add byte ptr ds:[eax],al

0043D7A0                add byte ptr ds:[eax],al
 

7.打开内存窗口在401000位置下内存断点然后shift+F9运行一次

Memory map, 条目

 地址=

 大小=0000B000 (.)

 属主=跑跑排行

 区段=.text

 包含=代码

 类型=Imag

 访问=R

 初始访问=RWE
 

8.来到假的OEP

0040A483    A3 ECFF4000     mov dword ptr ds:[40FFEC],eax            ; //假的OEP

0040A488    E8      call 跑跑排行.0040A5A3

0040A48D    391D 90FE4000   cmp dword ptr ds:[40FE90],ebx

0040A493     0C           jnz short 跑跑排行.0040A4A1

0040A495     A0A54000     push 跑跑排行.0040A5A0

0040A49A    FF15 CCC24000   call dword ptr ds:[40C2CC]               ; msvcrt.__setusermatherr

0040A4A0                  pop ecx

0040A4A1    E8 E8000000     call 跑跑排行.0040A58E

0040A4A6     1CF04000     push 跑跑排行.0040F01C

0040A4AB     18F04000     push 跑跑排行.0040F018
 

9.重新载入要脱壳的程序,入口点是一个pushad入栈,下一行使用ESP运行到最后一次异常,正常情况应该是第16次就跑飞了,15次是一个大跳转,所以我们运行到第14次就可以了

0042C000 >                pushad                                   ; //入口点

0042C001    E8      call 跑跑排行.0042C007                       ; //ESP

0042C006  -             jns short 跑跑排行.0042BF8B

0042C008                add al,0x24

0042C00A                  push es

0042C00B    C3              retn

0042C00C    E8      call 跑跑排行.0042C012
 

10.程序落脚点应该是这个位置,我们在这个地方使用LoadPE+ImoprtREC进行脱壳,需要注意的是,使用ImoprtREC修复过程中,我们首先需要填入的地址应该是假的OEP地址0040A483-00400000也就是A483(这个原因大家都应该懂得),然后修复完成后先不急着转存,把OEP地址换成ESP最后一次异常落脚点的地址,也就是41E4D(减去00400000基址的地址)。然后再进行转存,其实这样是没有把壳脱掉的,不过已经达到我们的目的了,可以使用资源修改软件对程序进行修改破解了。所以再实在不好脱壳的时候考虑下这种方式也是蛮好的

00441E4D    :A1   mov eax,dword ptr fs:[]                 ; //在这里脱壳

00441E53     39CA4200   mov dword ptr ds:[0x42CA39],eax

00441E59    FF35 39CA4200   push dword ptr ds:[0x42CA39]

00441E5F    8F05 71CA4200   pop dword ptr ds:[0x42CA71]

00441E65    FF35 71CA4200   push dword ptr ds:[0x42CA71]

00441E6B    891C24          mov dword ptr ss:[esp],ebx

00441E6E              mov dword ptr ss:[esp],eax

手脱ACProtect V1.4X(有Stolen Code)的更多相关文章

  1. 手脱ACProtect V1.4X(有Stolen Code)之补区段

    首先需要说的是,这个壳是ximo大神视频教程里的 0041F000 > pushad ; //程序入口点 0041F001 E8 call NgaMy.0041F007 0041F006 E8 ...

  2. 手脱ACProtect v1.35(无Stolen Code)之二

    首先,想说明的是这个壳在我的PC上是可以用上一个帖子中的方法来到假的OEP的:http://www.52pojie.cn/forum.php?mod=viewthread&tid=433462 ...

  3. 手脱ACProtect v1.35(有Stolen Code)

    1.载入PEID ACProtect v1.35 -> risco software Inc. & Anticrack Soft 2.载入OD,需要注意的是,异常选项除了[内存访问异常] ...

  4. 手脱ACProtect v1.35(无Stolen Code)

    1.载入PEID ACProtect v1.35 -> risco software Inc. & Anticrack Soft 2.载入OD,需要注意的是,异常选项除了[内存访问异常] ...

  5. 手脱ACProtect V2.0(无Stolen Code)

    1.载入PEID ACProtect V2.0 -> risco 2.载入OD > 00A04000 push ACP_Feed.0040A000 ; //入口点 0B104000 pus ...

  6. 手脱ASProtect v1.2(无Stolen Code)

    1.载入PEID ASProtect v1.2 2.载入OD > 01C04200 push 跑跑赛道.0042C001 ; //入口处 C3 retn AA stos byte ptr es: ...

  7. 手脱ASProtect v1.23 RC1(有Stolen Code)之以壳解壳

    1.载入PEID ASProtect v1.23 RC1 2.载入OD,不勾选内存访问异常,其他异常全部勾选 > 01C06D00 push SoWorker.006DC001 ; //入口点 ...

  8. 手脱ASProtect v1.23 RC1(有Stolen Code)

    1.载入PEID ASProtect v1.23 RC1 常见ASprotect版本壳: ASProtect 1.23 RC4 按shift+f9键26次后来到典型异常 ASProtect 1.31 ...

  9. 手脱ASProtect v1.23 RC1(无Stolen Code)

    1.载入PEID ASProtect v1.23 RC1 2.载入OD,不勾选内存访问异常,其他异常全部勾选 > 01C04200 push 跑跑排行.0042C001 ; //入口处 E8 c ...

随机推荐

  1. 【转载】IOS之禁用UIWebView的默认交互行为

    原文地址 :IOS之禁用UIWebView的默认交互行为 http://my.oschina.net/hmj/blog/111344 UIKit提供UIWebView组件,允许开发者在App中嵌入We ...

  2. 一个简单的Spring的AOP例子

    目标对象的接口:IStudent.java  1  /**  2  *  3   */  4  package  com.dragon.study; 5   6  /**  7  *  @author ...

  3. es6从零学习(二):promise

    es6从零学习(二):promise 一:promise的由来 某些情况下,回调嵌套很多时,代码就会非常繁琐,会给我们的编程带来很多的麻烦,这种情况俗称——回调地狱.由此,Promise的概念就由社区 ...

  4. oracle数据库中常见的操作语句(一)

    一 创建表空间 create tablespace lfdc_data logging datafile 'D:\Database\lfdc_data.dbf' size 50m autoextend ...

  5. A4

    队名:起床一起肝活队 组长博客:博客链接 作业博客:班级博客本次作业的链接 组员情况 组员1(队长):白晨曦 过去两天完成了哪些任务 描述: 很胖,刚学,照猫画虎做了登录与注册界面. 展示GitHub ...

  6. C++第一次课堂作业 circle

    Github上的代码提交

  7. vue项目怎么运行

    因为要做毕业设计 ,准备用vue来做前端的界面.发现不知如何运行vue的项目,很尴尬.通过查阅网上教程,因此把环境搭建过程记录下来,以备不时之需.   言归正传~~   首先,列出来我们需要的东西:  ...

  8. C# Winform Excel的导出,根据excel模板导出数据

    namespace dxhbskymDemo { public partial class ExcelForm : DevExpress.XtraEditors.XtraForm { public E ...

  9. Python ZKPython 安装

    1.由于python客户端依赖c的客户端所以要先安装c版本的客户端cd zookeeper-3.4.5/src/c./configuremake make install 2.下载python扩展包, ...

  10. C#窗口文件双击打开时出错

    出错原因: 1. 修改了该窗口文件的.Designer.cs文件中:#region Windows 窗体设计器生成的代码这里面的代码,导致运行不正常. 为了传递数据,我在构造函数中增加了传递的值. 需 ...