1.载入PEID ACProtect V2.0 -> risco 2.载入OD > 00A04000 push ACP_Feed.0040A000 ; //入口点 0B104000 push ACP_Feed.0040100B 0040100A C3 retn 0040100B C3 retn 0040100C 858A 1D04802F test dword ptr ds:[edx+2F80041D],ecx - ja short ACP_Feed.00400F96 EE out dx,al…

首先,想说明的是这个壳在我的PC上是可以用上一个帖子中的方法来到假的OEP的:http://www.52pojie.cn/forum.php?mod=viewthread&tid=433462&extra=page%3D1%26filter%3Dauthor%26orderby%3Ddateline,可能跟系统版本有关.如果大家使用这个连接中的帖子无法来到假的OEP那么可以参考下下面的方法,对于比较难的壳,我们首先先掌握方法,脱得多了,自然而然也就会了.当然,对于抽取OEP代码的壳,我们首…

1.载入PEID ACProtect v1.35 -> risco software Inc. & Anticrack Soft 2.载入OD,需要注意的是,异常选项除了[内存访问异常]外其他全部勾选上,然后shift+F9运行至最后一次异常,是1次之后.第二次程序就跑飞了 > pushad ; //入口 7C jl 7D jge 0B jno C2 66C1 retn 0xC166 0043600A D29E FC4566D3 rcr byte ptr ds:[esi-0x2C99B…

首先需要说的是,这个壳是ximo大神视频教程里的 0041F000 > pushad ; //程序入口点 0041F001 E8 call NgaMy.0041F007 0041F006 E8 call 0665F48E 0041F00B C3 retn 0041F00C inc ebx 0041F00D D3DA rcr edx,cl 0041F00F BE 75FC1F8F mov esi,8F1FFC75   3.打开内存界面,在”.rdata”处下段,然后shift+F9运行,有些程序可…

1.载入PEID ACProtect v1.35 -> risco software Inc. & Anticrack Soft 2.载入OD,需要注意的是,异常选项除了[内存访问异常]外其他全部勾选上,然后shift+F9运行至最后一次异常,是1次之后.第二次程序就跑飞了 > pushad ; //入口 7C jl 7D jge 0B jno C2 66C1 retn 0xC166 0043600A D29E FC4566D3 rcr byte ptr ds:[esi-0x2C99B…

1.载入PEID ACProtect V1.4X -> risco 首先需要说明的是,这个壳被偷取的代码非常多,如果去找的话会比较麻烦,所以我们换一种另类的方法,不脱壳也可以使用资源修改器对程序进行修改.先来看下被偷取的代码 0040A41E >/$ push ebp 0040A41F |. 8BEC mov ebp,esp 0040A421 |. 6A FF push - 0040A423 |. C8CB4000 push 跑跑排行.0040CBC8 0040A428 |. A4A54000…

1.载入PEID ASProtect v1.2 2.载入OD > 01C04200 push 跑跑赛道.0042C001 ; //入口处 C3 retn AA stos byte ptr es:[edi] 802C46 EC sub ],0EC 0040100B DD92 690D09A2 fst qword ptr ds:[edx+A2090D69] E8 B2AC5655 call 5596BCC8 D5 B2 aad 0B2   3.忽略所有异常,使用最后一次异常法,应该是第20次,第21…

1.载入PEID ASProtect v1.23 RC1 2.载入OD,不勾选内存访问异常,其他异常全部勾选 > 01C04200 push 跑跑排行.0042C001 ; //入口处 E8 call 跑跑排行.0040100B 0040100A C3 retn 0040100B C3 retn 0040100C D6 salc 0040100D push esp 0040100E 4A dec edx 0040100F pushad push ebp   3.使用最后一次异常法,来到最后一次异…

1.PEID载入 ASPack v2.12 2.载入OD,跟之前帖子的入口特征相同,都是一个pushad,但是请不要怀疑这是同一个壳,绝对不是,pushad下一行ESP定律下硬件断点,然后shift+F9运行一次 0057E001 > pushad ; //程序入口点 0057E002 E8 call memcolla.0057E00A ; //ESP定律 0057E007 - E9 EB045D45 jmp 45B4E4F7 0057E00C push ebp 0057E00D C3 retn…

1.载入PEID PEtite v2.1 2.载入OD,先F8跟一下 0042C10F > B8 00C04200 mov eax,跑跑排行.0042C000 ; //程序入口点 0042C114 6A push 0x0 0042C116 E5E84000 push 跑跑排行.0040E8E5 0042C11B :FF35 >push dword ptr fs:[] 0042C122 : >mov dword ptr fs:[],esp   3.一直到这里,看到一个pushad入栈,下一…