The026. 初探脱壳,ACProtect V2.0.X壳[稍难]
The026. 初探脱壳,ACProtect V2.0.X壳[稍难]
关于脱壳的记录,已有大牛教科书式帖文了,我就按照自己的习惯记录下来,如有疑问欢迎交流指正。^_^
1、PEiD查壳,ACProtect 2.00 - RISCO Software Inc.
https://s4.ax1x.com/2022/01/26/7ODmRJ.png
2、OD载入,设置异常选项卡如下图。因为无乱是INT3中断还是非法访问内存,都不能断下程序。
https://s4.ax1x.com/2022/01/26/7ODkZV.png
这里需要采用其他方法,首先下断点bp GetCurrentProcessId(获取当前进程一个唯一的标识符),Shift+F9运行到下图。
https://s4.ax1x.com/2022/01/26/7ODAaT.png
F2取消断点,LordPE查一下PID(进程识别号),由于查询时间或设备不同,每次PID都不一样。本次为000001F0。
https://s4.ax1x.com/2022/01/26/7ODPrq.png
修改当前行的反汇编代码为下图所示(mov eax,1F0)。
https://s4.ax1x.com/2022/01/26/7ODiq0.png
修改后,下面一行需要NOP掉。此时bp GetCurrentProcessId断点修改完毕。
https://s4.ax1x.com/2022/01/26/7ODEIU.png
再进行下一个断点的操作,下断点BP GetModuleHandleA(获取一个应用程序或动态链接库的模块句柄)。Shift+F9运行。
https://s4.ax1x.com/2022/01/26/7ODeG4.png
F2取消断点,Alt+M打开内存窗口,在00401000处下F2断点,Shift+F9运行,直接到OEP,代码完整没有偷窃。
https://s4.ax1x.com/2022/01/26/7ODZiF.png
3、LordPE修正镜像大小,完整转存,ImportREC修复(打开原程序用等级3修复)。查询无壳,程序正常运行。
https://s4.ax1x.com/2022/01/26/7ODnz9.png
如果能提供下样本就好了。。 支持 英格玛6.8的壳楼主试过没? 大佬要搞一下vmp3.0-3.5吗? wxinlin 发表于 2022-1-27 08:40
如果能提供下样本就好了。。 支持
ximo大牛的视频教程:https://down.52pojie.cn/吾爱破解视频教程/ximo脱壳基础.7z pyj521 发表于 2022-1-27 08:42
英格玛6.8的壳楼主试过没?
我是初学者,还在基础阶段{:1_918:} 8core45153386 发表于 2022-1-27 09:38
大佬要搞一下vmp3.0-3.5吗?
你还在弄那个壳吗?大佬不是跟你说放弃你那个宇宙强壳吗{:1_918:} chuiyan121 发表于 2022-1-27 22:11
你还在弄那个壳吗?大佬不是跟你说放弃你那个宇宙强壳吗
没弄sp了,先研究vmp再研究,哈哈 chuiyan121 发表于 2022-1-27 22:11
你还在弄那个壳吗?大佬不是跟你说放弃你那个宇宙强壳吗
vmp3.5有指导思路吗,你要不要出一版,哈哈 8core45153386 发表于 2022-1-28 09:12
vmp3.5有指导思路吗,你要不要出一版,哈哈
我还在跟着大佬的视频在混,没你玩得前卫啊{:1_918:}
页:
[1]