吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 1525|回复: 9
收起左侧

[求助] ACProtect脱壳问题

[复制链接]
朱朱你堕落了 发表于 2022-12-25 21:20
500吾爱币
非常老的壳了,最简单的脱壳也不会,这个贴子:
https://www.52pojie.cn/thread-1257487-1-1.html

为了方便我直接把贴子中的附件,上传到网盘: https://cowtransfer.com/s/21d99863f50345
里面的ACP_Feedback是无壳delphi的,做参考用的,ACP_Feedback1.32是加了ACProtect的,用来试练的。

第一个自然是到OEP了,试了几次也不知道用什么方法能跳到OEP,哈哈。

第二个,看贴子中使用的魔术跳,跳过IAT加密,但是不会找。

它的IAT应该就这些吧,

004050A0  0040A010  ACP_Feed.0040A010
004050A4  0040A01D  ACP_Feed.0040A01D
004050A8  0040A02A  ACP_Feed.0040A02A
004050AC  0040A037  ACP_Feed.0040A037
004050B0  0040A044  ACP_Feed.0040A044
004050B4  0040A051  ACP_Feed.0040A051
004050B8  0040A05E  ACP_Feed.0040A05E
004050BC  0040A06B  ACP_Feed.0040A06B
004050C0  0040A078  ACP_Feed.0040A078
004050C4  0040A085  ACP_Feed.0040A085
004050C8  0040A092  ACP_Feed.0040A092
004050CC  0040A09F  ACP_Feed.0040A09F
004050D0  0040A0AC  ACP_Feed.0040A0AC
004050D4  0040A0B9  ACP_Feed.0040A0B9
004050D8  0040A0C6  ACP_Feed.0040A0C6
004050DC  00000000
004050E0  0040A0D3  ACP_Feed.0040A0D3
004050E4  0040A0E0  ACP_Feed.0040A0E0
004050E8  00000000
004050EC  77DA7AAB  ADVAPI32.RegQueryValueExA
004050F0  77DA7842  ADVAPI32.RegOpenKeyExA
004050F4  77DA6C17  ADVAPI32.RegCloseKey
004050F8  00000000
004050FC  0040A0ED  ACP_Feed.0040A0ED
00405100  0040A0FA  ACP_Feed.0040A0FA
00405104  0040A107  ACP_Feed.0040A107
00405108  0040A114  ACP_Feed.0040A114
0040510C  00000000
00405110  0040A121  ACP_Feed.0040A121
00405114  0040A12E  ACP_Feed.0040A12E
00405118  0040A13B  ACP_Feed.0040A13B
0040511C  0040A148  ACP_Feed.0040A148
00405120  00000000
00405124  0040A155  ACP_Feed.0040A155
00405128  0040A162  ACP_Feed.0040A162
0040512C  0040A16F  ACP_Feed.0040A16F
00405130  0040A17C  ACP_Feed.0040A17C
00405134  0040A189  ACP_Feed.0040A189
00405138  0040A196  ACP_Feed.0040A196
0040513C  0040A1A3  ACP_Feed.0040A1A3
00405140  0040A1B0  ACP_Feed.0040A1B0
00405144  00000000
00405148  7D611150  shell32.ShellExecuteA
0040514C  00000000

从0x004050A0到0x0040514C吧,那对第一个0x004050A0下DWORD类型的硬件写入断点,断在如下图位置。

QQ截图.png


这里应该没错吧。但是在上面找,并没有找到跳过IAT重定向写入的跳转。
如离它最近的上面的ret,我会想着在ret下面找跳过IAT加密时的代码,

0041E794    C3              retn
0041E795    E9 04000000     jmp ACP_Feed.0041E79E 从这里看,看得一头雾水。
0041E79A    66:B9 32CF      mov cx,0xCF32

但是ret下面这并不是个函数啊,和我们一般的无壳程序不一样啊,无壳的一般retn下面都是一个完整的汇编段,如
push ebp
mov esp, ebp
........
ret

为什么壳里代码都是这样的,花指令还是乱序啥的吗?

具体应该怎么找?是不是方法不对呢? 最有效锁定的IAT加密时位置的方法是什么。
方便的话,麻烦给做个视频下,一个是如何到OEP,一个是如何跳过IAT加密。

最佳答案

查看完整内容

0041E973 90 nop 0041E974 90 nop 0041E9D2 01 改 00 https://imglf5.lf127.net/img/8dfd2f493b056a7f/V2xWZWRoOU5iQnUrdnpkZFZYd3ZlUExObGluYi9oOE9xOFZRQkIrZ1ZSdz0.gif

免费评分

参与人数 1热心值 +1 收起 理由
netspirit + 1 每次你的悬赏价值最高 cb永远花不完

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

七宗罪丶 发表于 2022-12-25 21:20
本帖最后由 七宗罪丶 于 2022-12-26 19:42 编辑

0041E973     90              nop
0041E974     90              nop

0041E9D2  01 改 00

https://imglf5.lf127.net/img/8dfd2f493b056a7f/V2xWZWRoOU5iQnUrdnpkZFZYd3ZlUExObGluYi9oOE9xOFZRQkIrZ1ZSdz0.gif

点评

大佬威武,为什么此处0041E9D2 0100 add dword ptr ds:[eax],eax 改成了00就影响上面的跳转了呢?我测试如果不改的话,上面的jz就不跳,改了就跳, 为什么要改这里,而且是jz下面的代码修改反而  详情 回复 发表于 2022-12-26 11:19
oOvVvAvVvOo 发表于 2022-12-25 22:39
有没有萌新入门的脱壳教学,有点看不懂啊,我萌新
oOvVvAvVvOo 发表于 2022-12-25 22:42
oOvVvAvVvOo 发表于 2022-12-25 22:39
有没有萌新入门的脱壳教学,有点看不懂啊,我萌新

不好意思我眼瞎,看到了简单脱壳了
a8511816 发表于 2022-12-26 06:42
学习了,厉害

免费评分

参与人数 1吾爱币 -4 收起 理由
涛之雨 -4 此为违规行为,请遵守论坛版规!

查看全部评分

酒醒黄昏 发表于 2022-12-26 09:06
有没有萌新入门的脱壳教学,有点看不懂啊,我萌新
 楼主| 朱朱你堕落了 发表于 2022-12-26 11:19
七宗罪丶 发表于 2022-12-25 21:20
0041E973     90              nop
0041E974     90              nop

大佬威武,为什么此处0041E9D2    0100            add dword ptr ds:[eax],eax

改成了00就影响上面的跳转了呢?我测试如果不改的话,上面的jz就不跳,改了就跳,
为什么要改这里,而且是jz下面的代码修改反而影响了上面的jz跳转呢?麻烦讲一下原理。
改后的效果.png
七宗罪丶 发表于 2022-12-26 19:31
本帖最后由 七宗罪丶 于 2022-12-26 19:45 编辑

41E9C0这里cmp的值 就是 41E9D2这里的
你跟踪到cmp这里的时候 可以右键查看

image.png


上面的图片不显示 我重新传一个

https://imglf5.lf127.net/img/8dfd2f493b056a7f/V2xWZWRoOU5iQnUrdnpkZFZYd3ZlUExObGluYi9oOE9xOFZRQkIrZ1ZSdz0.gif

点评

大佬用的这个gif录制工具叫什么?看着挺好玩。  详情 回复 发表于 2022-12-27 14:54
 楼主| 朱朱你堕落了 发表于 2022-12-27 14:54
七宗罪丶 发表于 2022-12-26 19:31
41E9C0这里cmp的值 就是 41E9D2这里的
你跟踪到cmp这里的时候 可以右键查看

大佬用的这个gif录制工具叫什么?看着挺好玩。
七宗罪丶 发表于 2022-12-28 00:43
朱朱你堕落了 发表于 2022-12-27 14:54
大佬用的这个gif录制工具叫什么?看着挺好玩。

不知道叫啥 挺老的小工具了
TIM截图20221228004233.png
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-12-24 00:42

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表