新手脱壳——脱ACProtect 壳的另一种方式
本帖最后由 zrhking 于 2019-3-24 18:44 编辑新手脱壳——脱ACProtect 壳的另一种方式工具:吾爱破解OllyDbg、PEiD 0.95 、吾爱XP系统。
PEiD 0.95查壳:
OD设置:
开始:在OD最下面的command中输入:bp CreateFileA ,然后按一下回车:
确认断点已下;下一步:按Shift+F9;停在这里:
再按Atl+F9,返回,停在这里,此时将刚才下的bp CreateFileA断点删除(点下图的b,在弹出界面中删除断点),不删除断点会给终止:
接下来,按F8,单步向下走,来到这里:
不要让程序回跳,下面发现两个popad(关键位置);这时将鼠标点到00434383 处,然后按F4;
光标走到00434383 处了。接下来用,内存镜像法:点菜单栏中的“查看”,下拉菜单中的“内存”,弹到下面界面,将鼠标点到地址:00401000 .text 代码处,然后按F2下断。
然后按Shift+F9;停在下图,到达OEP,但入口特征被隐藏,存在Stolen Code:
此时(以下内容参照黑鹰教程编写),关注堆栈,0012FFDC00402C98ASCII "VB5!6&vb6chs.dll 这个地址就是所需要:
再观察下图,这00401B4A 地址也是所需要的:
现在开始简单汇编:在00401B50 inc edi 处双击,然后输入push00402c98如图:
再在00401B55处双击,然后输入call00401B4A如图:
完成后如图:
接下来,开始Dump;
将入口点地址,修改为:1B50。然后点“脱壳“:
保存后,直接可以运行了。查壳:
学习分享到此结束。 原加Acprotect壳文件 52lxw 发表于 2019-3-26 17:16
希望楼主发下加壳文件
在后面附上传了,加壳文件了。第一次发贴,不怎么懂,见谅。好像自动要-1CB zrhking 发表于 2019-3-26 19:42
在后面附上传了,加壳文件了。第一次发贴,不怎么懂,见谅。好像自动要-1CB
感谢分享 谢谢楼主的分享
谢谢楼主的分享 共同学习,共同进步。多思考,多调试。不懂到论坛找资料或百度搜资料,坚持就会进步。:loveliness::handshake 谢谢楼主的分享
谢谢楼主的分享 希望楼主发下加壳文件 谢谢大佬的教学
页:
[1]
2