网站 › 『脱壳破解区』 › 手脱ACProtect v1.35(无Stolen Code)之二

Jian丶ylt 发表于 2015-11-15 22:15

手脱ACProtect v1.35(无Stolen Code)之二

声明：

       1.只为纪录自己成长历程，高手勿喷
       2.您的热心是新手持续发帖的动力

首先，想说明的是这个壳在我的PC上是可以用上一个帖子中的方法来到假的OEP的：http://www.52pojie.cn/forum.php?mod=viewthread&tid=433462&extra=page%3D1%26filter%3Dauthor%26orderby%3Ddateline，可能跟系统版本有关。如果大家使用这个连接中的帖子无法来到假的OEP那么可以参考下下面的方法，对于比较难的壳，我们首先先掌握方法，脱得多了，自然而然也就会了。当然，对于抽取OEP代码的壳，我们首先要知道不同语言写出来的程序的入口点代码特征，大家可以参考：http://www.52pojie.cn/thread-421969-1-1.html

1.载入PEID

    ACProtect v1.35 -> risco software Inc. & Anticrack Softw

2.载入OD，异常选项不勾选INT3选项，隐藏OD，吾爱官方现在的OD隐藏OD在strongOD里面，还是使用最后一次异常法shift+F9一次，第二次就会跑飞了

004AC000 >60            pushad                            ; //入口点
004AC001    4E            dec esi
004AC002    D3D6            rcl esi,cl
004AC004    4E            dec esi
004AC005    66:D3E8         shr ax,cl
004AC008    4E            dec esi
004AC009    8BC3            mov eax,ebx

3.落脚点，落脚后在堆栈闯窗口右键单机SE句柄，然后选择[数据窗口跟随],然后右键选中数据窗口跟随的地方下内存访问断点，然后shift+F9一次

0012FF24   004BAAF0SE处理程序      //堆栈窗口SE句柄

004BAAF00424448B      //数据窗口跟随

004BAB23    90            nop                               ; //最后一次异常法落脚点
004BAB24    64:67:8F06 0000 pop dword ptr fs:            
004BAB2A    83C4 04         add esp,0x4
004BAB2D    60            pushad
004BAB2E    E8 00000000   call NetClean.004BAB33
004BAB33    5E            pop esi                           
004BAB34    83EE 06         sub esi,0x6
004BAB37    B9 5B000000   mov ecx,0x5B

4.落脚点，在落脚点的位置下断点F2，然后shift+F9一次

004BAAF0    8B4424 04       mov eax,dword ptr ss:    ; //落脚点
004BAAF4    8B4C24 0C       mov ecx,dword ptr ss:
004BAAF8    FF81 B8000000   inc dword ptr ds:
004BAAFE    8B00            mov eax,dword ptr ds:
004BAB00    2D 03000080   sub eax,0x80000003
004BAB05    75 12         jnz short NetClean.004BAB19
004BAB07    90            nop

5.落脚点，在落脚点的位置同样下断点F2然后shift+F9一次

004BAB4E    8B048E          mov eax,dword ptr ds:; //落脚点
004BAB51    8B5C8E 04       mov ebx,dword ptr ds:[esi+ecx*4+0>
004BAB55    03C3            add eax,ebx
004BAB57    C1C8 0E         ror eax,0xE
004BAB5A    2BC2            sub eax,edx
004BAB5C    81EA D41CF55C   sub edx,0x5CF51CD4

6.落脚点，落脚后先清除两个F2断点，一个内存访问断点，然后找到下面最近的retn，F4运行到指定位置。

004BAB62    89048E          mov dword ptr ds:,eax; //落脚点
004BAB65    49            dec ecx
004BAB66^ EB E1         jmp short NetClean.004BAB49
004BAB68    61            popad
004BAB69    61            popad
004BAB6A    C3            retn                              ; //F4
004BAB6B    0000            add byte ptr ds:,al

7.到这里后就是脱壳的最佳时机了(如果想要看看假的OEP位置可以按照上一篇的脱壳法到内存界面401000下断点shift+F9运行过去看下).我们在命令行输入"d 12ffc0"，据ximo大神讲，这是ACProtect壳的死穴，记着就好。输入完命令后回车，在数据窗口第一行下硬件断点，然后shift+F9运行一次(我在我的PC上下硬件断点程序会跑飞，我的是win7--32，悲催。还是老老实实用XP吧)

0012FFC000000000      //数据窗口第一行

8.落脚点的位置就是被偷取代码的第一行，一共被偷取了三行代码，使用二进制把它复制出来

004C9B31    55                push ebp                               ; //被偷取代码1
004C9B32    8BEC            mov ebp,esp                            ; //被偷取代码2
004C9B34    6A FF             push -1                              ; //被偷取代码3
004C9B36    90                nop
004C9B37    60                pushad

55 8B EC 6A FF    //二进制复制一共5个字节

9.点击来到内存窗口在401000位置下断点F2然后shift+F9一次来到假的OEP，向上找5个字节(如果向上拉的时候代码乱掉了就右键分析一下代码再向上拉)

004431F9    68 D8B24400   push NetClean.0044B2D8            ; //假的OEP
004431FE    68 B4334400   push NetClean.004433B4
00443203    64:A1 00000000mov eax,dword ptr fs:
00443209    50            push eax                        
0044320A    64:8925 0000000>mov dword ptr fs:,esp
00443211    83EC 68         sub esp,0x68

10.如下，找到5个字节后选中并右键使用二进制粘贴

004431F4      8C            db 8C                                  ;//第1个字节
004431F5   .C3            retn                                 ;//第2个字节
004431F6      49            db 49                                  ;//第3个字节
004431F7      2E            db 2E                                  ;//第4个字节
004431F8      79            db 79                                  ;//第5个字节
004431F9   .68 D8B24400   push NetClean.0044B2D8               ;//假的OEP
004431FE   .68 B4334400   push NetClean.004433B4                  SE 处理程序安装
00443203   .64:A1 00000000mov eax,dword ptr fs:
00443209   .50            push eax
0044320A   .64:8925 0000000>mov dword ptr fs:,esp
00443211   .83EC 68         sub esp,68

11.在新的OEP位置右键新建EIP，然后可以先进行一下脱壳，当然脱壳后的程序是不能运行的。

004431F4      55            push ebp                        ;//此处新建EIP
004431F5      8BEC          mov ebp,esp
004431F7      6A FF         push -0x1
004431F9   .68 D8B24400   push NetClean.0044B2D8            ;//假的OEP
004431FE   .68 B4334400   push NetClean.004433B4            处理程序安装
00443203   .64:A1 0000000>mov eax,dword ptr fs:
00443209   .50            push eax                        
0044320A   .64:8925 00000>mov dword ptr fs:,esp
00443211   .83EC 68       sub esp,0x68

12.OD载入已脱壳的程序，先去到原脱壳程序的入口点(可以使用PEID查看一下未脱壳程序的入口点然后在OD中跟随一下)，然后把被抽取的三行代码改到入口点的三行代码中，第四行改为一个无条件跳转"jmp 00ff31f4"，跳转到我们新建EIP的那个地址如下图(可能是系统不同，所以改好后显示的代码跟XP下不一样，还是要用XP脱壳才行)：

修改前：

004AC000 > $60            pushad                            ;//入口点
004AC001   .4E            dec esi
004AC002   .D3D6          rcl esi,cl
004AC004   .4E            dec esi
004AC005   .66:D3E8       shr ax,cl
004AC008   .4E            dec esi
004AC009   .8BC3          mov eax,ebx

修改后

004AC000 >    55            push ebp                        ;//入口点
004AC001      8BEC          mov ebp,esp
004AC003      6A FF         push -0x1
004AC005    - E9 EA71F9FF   jmp NetClean.004431F4            ;//无条件跳转
004AC00A      C3            retn
004AC00B   .48            dec eax                         

13.修改完成后选中修改的几行代码，然后右键--复制到可执行文件--选择，在新出现的窗口再右键--保存文件，保存到一个路径下。然后使用loadPE把保存好的文件的入口点改为和未脱壳程序一样的入口点。就可以正常运行了。

14.运行查壳

    运行OK，查壳：UnKnow    查壳虽然好像还是有壳的样子，但是其实已经脱掉了。

枫MapleLCG 发表于 2015-11-15 22:19

楼主，我又来顶贴了

Jian丶ylt 发表于 2015-11-15 22:20

枫叶飘零 发表于 2015-11-15 22:19
楼主，我又来顶贴了

路过不发热心值{:301_973:}

查看完整版本: 手脱ACProtect v1.35(无Stolen Code)之二