1.载入PEID

ACProtect v1.35 -> risco software Inc. & Anticrack Soft

2.载入OD,需要注意的是,异常选项除了[内存访问异常]外其他全部勾选上,然后shift+F9运行至最后一次异常,是1次之后。第二次程序就跑飞了

 >                pushad                            ; //入口

    7C            jl short QQ个性签.

    7D            jge short QQ个性签.

     0B           jno short QQ个性签.

    C2 66C1         retn 0xC166

0043600A    D29E FC4566D3   rcr byte ptr ds:[esi-0x2C99BA04],>

    D27403        sal byte ptr ds:[ebx+eax+0x75],cl

              add dword ptr ds:[edi+0x66],esi
 

3.落脚点,落脚后右键点堆栈窗口SE句柄—数据窗口跟随—数据窗口第一行下内存访问断点然后shift+F9

00447B1F    CD            int 0x1                           ; //落脚点

00447B21                  inc eax

00447B22                  inc eax

00447B23    0BC0            or eax,eax

00447B25                jnz short QQ个性签.00447B2C

00447B27                  nop

00447B28                  nop

0012FF44   00447B03  SE处理程序     //堆栈窗口

00447B03  0C245C8B                  //数据窗口第一行

4.落脚点,在落脚点下F2断点,然后shift+F9

00447B03    8B5C24 0C       mov ebx,dword ptr ss:[esp+0xC]    ; //落脚点

00447B07     B8000000 >add dword ptr ds:[ebx+0xB8],0x2

00447B0E    33C0            xor eax,eax

00447B10    C3              retn

00447B11    ::FF36  push dword ptr fs:[]

00447B17    ::  mov dword ptr fs:[],esp
 

5.落脚点,继续在这里下F2断点,然后shift+F9运行

00447B53    8B048E          mov eax,dword ptr ds:[esi+ecx*]  ; //落脚点

00447B56    8B5C8E        mov ebx,dword ptr ds:[esi+ecx*+>

00447B5A    2BC3            sub eax,ebx

00447B5C    C1C0          rol eax,0x7

00447B5F    33C2            xor eax,edx

00447B61    81C2 4B3DF129   add edx,0x29F13D4B
 

6.落脚点,先清除刚刚下的2个F2断点和1个内存访问断点,然后在最近的retn处F4

00447B67    89048E          mov dword ptr ds:[esi+ecx*],eax    ; //落脚点

00447B6A                  dec ecx

00447B6B  ^ EB E1           jmp short QQ个性签.00447B4E

00447B6D                  popad

00447B6E                  popad

00447B6F    C3              retn                                ; //F4

00447B70                add byte ptr ds:[eax],al
 

7.接下来到显示内存窗口,在00401000处下F2断点然后shift+F9运行,这个时候加壳程序就跑起来了,弹出那个ACProtect的提示窗,不用管,直接点确定

Memory map, 条目

 地址=

 大小=0002B000 (.)

 属主=QQ个性签

 区段=.text

 包含=代码

 类型=Imag

 访问=R

 初始访问=RWE
 

8.直接来到OEP,可以脱壳了,使用LoadPE+ImportREC脱壳即可

004012D4          push QQ个性签.               ; //OEP

004012D9    E8 F0FFFFFF     call QQ个性签.004012CE               ; jmp 到 msvbvm60.ThunRTMain

004012DE                add byte ptr ds:[eax],al

004012E0                add byte ptr ds:[eax],al

004012E2                add byte ptr ds:[eax],al

004012E4                xor byte ptr ds:[eax],al

004012E6                add byte ptr ds:[eax],al

004012E8                  dec eax                           ; kernel32.BaseThreadInitThunk

004012E9                add byte ptr ds:[eax],al

9.运行查壳

运行OK,查壳:Microsoft Visual Basic v5.0/v6.0

手脱ACProtect v1.35(无Stolen Code)的更多相关文章

  1. 手脱ACProtect v1.35(无Stolen Code)之二

    首先,想说明的是这个壳在我的PC上是可以用上一个帖子中的方法来到假的OEP的:http://www.52pojie.cn/forum.php?mod=viewthread&tid=433462 ...

  2. 手脱ACProtect v1.35(有Stolen Code)

    1.载入PEID ACProtect v1.35 -> risco software Inc. & Anticrack Soft 2.载入OD,需要注意的是,异常选项除了[内存访问异常] ...

  3. 手脱ACProtect V1.4X(有Stolen Code)之补区段

    首先需要说的是,这个壳是ximo大神视频教程里的 0041F000 > pushad ; //程序入口点 0041F001 E8 call NgaMy.0041F007 0041F006 E8 ...

  4. 手脱ACProtect V1.4X(有Stolen Code)

    1.载入PEID ACProtect V1.4X -> risco 首先需要说明的是,这个壳被偷取的代码非常多,如果去找的话会比较麻烦,所以我们换一种另类的方法,不脱壳也可以使用资源修改器对程序 ...

  5. 手脱ACProtect V2.0(无Stolen Code)

    1.载入PEID ACProtect V2.0 -> risco 2.载入OD > 00A04000 push ACP_Feed.0040A000 ; //入口点 0B104000 pus ...

  6. 手脱ASProtect v1.2(无Stolen Code)

    1.载入PEID ASProtect v1.2 2.载入OD > 01C04200 push 跑跑赛道.0042C001 ; //入口处 C3 retn AA stos byte ptr es: ...

  7. 手脱ASProtect v1.23 RC1(无Stolen Code)

    1.载入PEID ASProtect v1.23 RC1 2.载入OD,不勾选内存访问异常,其他异常全部勾选 > 01C04200 push 跑跑排行.0042C001 ; //入口处 E8 c ...

  8. 手脱ASProtect v1.23 RC1(有Stolen Code)之以壳解壳

    1.载入PEID ASProtect v1.23 RC1 2.载入OD,不勾选内存访问异常,其他异常全部勾选 > 01C06D00 push SoWorker.006DC001 ; //入口点 ...

  9. 手脱ASProtect v1.23 RC1(有Stolen Code)

    1.载入PEID ASProtect v1.23 RC1 常见ASprotect版本壳: ASProtect 1.23 RC4 按shift+f9键26次后来到典型异常 ASProtect 1.31 ...

随机推荐

  1. Ubuntu—安装python的第三方包gevent

    今晚花很多时间, 使用 sudo pip3 install gevent 但是始终没有成功. 柳暗花明又一村 sudo apt-get install python3-gevent 搞定!!! 人生如 ...

  2. vs2017 asp.net FriendlyUrls 新特性

    这个包如何使用呢?其实很简单,只需将nuget包添加到项目中,再调用routes.EnableFriendlyUrls(),你就可以通过/Foo来访问/Foo.aspx了!你也能够利用URL片段将更多 ...

  3. scrapy-redis+selenium+webdriver 部署到linux上

    背景:在使用selenium时,在本地使用windows,都会有一个图形界面,但是到了生产环境linux上没有了图形界面怎么部署呢? 解决方案: 1.安装图形化界面,不推荐,因为安装图形化界面会占用很 ...

  4. 软工1816 · Alpha冲刺(5/10)

    团队信息 队名:爸爸饿了 组长博客:here 作业博客:here 组员情况 组员1(组长):王彬 过去两天完成了哪些任务 后端代码复审 福大各个食堂的菜品口味量化.属性标记 组织前后端线下协作 接下来 ...

  5. 词法分析用c++实现的

    #include<stdio.h>#include<string.h>int i,j,k,sign,flag,number,run;char ch;char word[10]; ...

  6. 201621123037 《Java程序设计》第10周学习总结

    作业10-异常 标签(空格分隔): Java 1. 本周学习总结 1.1 以你喜欢的方式(思维导图或其他)归纳总结异常相关内容. 2. 书面作业 本次PTA作业题集异常 1. 常用异常 结合题集题目7 ...

  7. Exception: com.mysql.jdbc.exceptions.jdbc4.MySQLTransactionRollbackException: Deadlock found when trying to get lock; try restarting transaction

    我在update数据库的时候出现的死锁 数据库表死锁 Exception: com.mysql.jdbc.exceptions.jdbc4.MySQLTransactionRollbackExcept ...

  8. java 使用volatile实现线程数据的共享

    java 使用volatile实现线程数据的共享 直接上代码看效果: public class VolatileTest extends Thread { private volatile boole ...

  9. angular 延迟更新方法

    失去焦点后更新: <input ng-model="name" ng-model-options="{updateOn:'blur'}" />{{n ...

  10. python的N个小功能(连接数据库并下载相应位置的图片)

    #################################################################################################### ...