ACProtect脱壳问题

朱朱你堕落了

非常老的壳了，最简单的脱壳也不会，这个贴子：
https://www.52pojie.cn/thread-1257487-1-1.html

为了方便我直接把贴子中的附件，上传到网盘： https://cowtransfer.com/s/21d99863f50345
里面的ACP_Feedback是无壳delphi的，做参考用的，ACP_Feedback1.32是加了ACProtect的，用来试练的。

第一个自然是到OEP了，试了几次也不知道用什么方法能跳到OEP，哈哈。

第二个，看贴子中使用的魔术跳，跳过IAT加密，但是不会找。

它的IAT应该就这些吧，

004050A0  0040A010  ACP_Feed.0040A010
004050A4  0040A01D  ACP_Feed.0040A01D
004050A8  0040A02A  ACP_Feed.0040A02A
004050AC  0040A037  ACP_Feed.0040A037
004050B0  0040A044  ACP_Feed.0040A044
004050B4  0040A051  ACP_Feed.0040A051
004050B8  0040A05E  ACP_Feed.0040A05E
004050BC  0040A06B  ACP_Feed.0040A06B
004050C0  0040A078  ACP_Feed.0040A078
004050C4  0040A085  ACP_Feed.0040A085
004050C8  0040A092  ACP_Feed.0040A092
004050CC  0040A09F  ACP_Feed.0040A09F
004050D0  0040A0AC  ACP_Feed.0040A0AC
004050D4  0040A0B9  ACP_Feed.0040A0B9
004050D8  0040A0C6  ACP_Feed.0040A0C6
004050DC  00000000
004050E0  0040A0D3  ACP_Feed.0040A0D3
004050E4  0040A0E0  ACP_Feed.0040A0E0
004050E8  00000000
004050EC  77DA7AAB  ADVAPI32.RegQueryValueExA
004050F0  77DA7842  ADVAPI32.RegOpenKeyExA
004050F4  77DA6C17  ADVAPI32.RegCloseKey
004050F8  00000000
004050FC  0040A0ED  ACP_Feed.0040A0ED
00405100  0040A0FA  ACP_Feed.0040A0FA
00405104  0040A107  ACP_Feed.0040A107
00405108  0040A114  ACP_Feed.0040A114
0040510C  00000000
00405110  0040A121  ACP_Feed.0040A121
00405114  0040A12E  ACP_Feed.0040A12E
00405118  0040A13B  ACP_Feed.0040A13B
0040511C  0040A148  ACP_Feed.0040A148
00405120  00000000
00405124  0040A155  ACP_Feed.0040A155
00405128  0040A162  ACP_Feed.0040A162
0040512C  0040A16F  ACP_Feed.0040A16F
00405130  0040A17C  ACP_Feed.0040A17C
00405134  0040A189  ACP_Feed.0040A189
00405138  0040A196  ACP_Feed.0040A196
0040513C  0040A1A3  ACP_Feed.0040A1A3
00405140  0040A1B0  ACP_Feed.0040A1B0
00405144  00000000
00405148  7D611150  shell32.ShellExecuteA
0040514C  00000000

从0x004050A0到0x0040514C吧，那对第一个0x004050A0下DWORD类型的硬件写入断点，断在如下图位置。




这里应该没错吧。但是在上面找，并没有找到跳过IAT重定向写入的跳转。
如离它最近的上面的ret，我会想着在ret下面找跳过IAT加密时的代码，

0041E794    C3              retn
0041E795    E9 04000000     jmp ACP_Feed.0041E79E 从这里看，看得一头雾水。
0041E79A    66:B9 32CF      mov cx,0xCF32

但是ret下面这并不是个函数啊，和我们一般的无壳程序不一样啊，无壳的一般retn下面都是一个完整的汇编段，如
push ebp
mov esp, ebp
........
ret

为什么壳里代码都是这样的，花指令还是乱序啥的吗？

具体应该怎么找？是不是方法不对呢？ 最有效锁定的IAT加密时位置的方法是什么。
方便的话，麻烦给做个视频下，一个是如何到OEP，一个是如何跳过IAT加密。

七宗罪丶

0041E973     90              nop
0041E974     90              nop

0041E9D2  01 改 00

https://imglf5.lf127.net/img/8dfd2f493b056a7f/V2xWZWRoOU5iQnUrdnpkZFZYd3ZlUExObGluYi9oOE9xOFZRQkIrZ1ZSdz0.gif

oOvVvAvVvOo

有没有萌新入门的脱壳教学，有点看不懂啊，我萌新

oOvVvAvVvOo

oOvVvAvVvOo 发表于 2022-12-25 22:39
有没有萌新入门的脱壳教学，有点看不懂啊，我萌新

不好意思我眼瞎，看到了简单脱壳了

a8511816

学习了，厉害

酒醒黄昏

有没有萌新入门的脱壳教学，有点看不懂啊，我萌新

朱朱你堕落了

七宗罪丶 发表于 2022-12-25 21:20
0041E973     90              nop
0041E974     90              nop

大佬威武，为什么此处0041E9D2    0100            add dword ptr ds:[eax],eax

改成了00就影响上面的跳转了呢？我测试如果不改的话，上面的jz就不跳，改了就跳，
为什么要改这里，而且是jz下面的代码修改反而影响了上面的jz跳转呢？麻烦讲一下原理。

七宗罪丶

41E9C0这里cmp的值 就是 41E9D2这里的
你跟踪到cmp这里的时候 可以右键查看




上面的图片不显示 我重新传一个

https://imglf5.lf127.net/img/8dfd2f493b056a7f/V2xWZWRoOU5iQnUrdnpkZFZYd3ZlUExObGluYi9oOE9xOFZRQkIrZ1ZSdz0.gif

朱朱你堕落了

七宗罪丶 发表于 2022-12-26 19:31
41E9C0这里cmp的值 就是 41E9D2这里的
你跟踪到cmp这里的时候 可以右键查看

大佬用的这个gif录制工具叫什么？看着挺好玩。

七宗罪丶

朱朱你堕落了 发表于 2022-12-27 14:54
大佬用的这个gif录制工具叫什么？看着挺好玩。

不知道叫啥 挺老的小工具了