本篇从“ximo脱壳基础”教程第16节开始
0x02
(16)脱ACProtect1.32(无Stolen Code)
1)、设置异常,隐藏OD
选项—>调试设置—>设置内存访问异常
插件—>StrongOD—>Options—>勾选HidePEB
Shift+F9直到程序运行(记录次数)
重载—>Shift+F9直到程序运行(次数-1)—>查看堆栈窗口SE句柄—>数据窗口跟随
2)、SE处下内存访问断点
数据区右键—>断点—>内存访问断点
3)、
Shift+F9一次—>F2下断点—>Shift+F9一次—>F2下断点—>Shift+F9一次—>取消所有断点
(内存访问断点删除:右键断点—>删除内存断点)
4)、
运行到retn处—>ALT+M—>代码段(00401000)下断—>Shift+F9—>到达OEP
(17)脱ACProtect(存在Stolen Code)
ACProtect之前的版本名字为UltraProtect 1.x
区段可能会有.perplex
常规方法:直达OEP
修复被偷取的代码
修复、成功脱掉!
1)、设置异常,隐藏OD
选项—>调试设置—>设置内存访问异常
插件—>StrongOD—>Options—>勾选HidePEB
Shift+F9直到程序运行(记录次数)
重载—>Shift+F9直到程序运行(次数-1)—>查看堆栈窗口SE句柄—>数据窗口跟随
2)、SE处下内存访问断点
数据区右键—>断点—>内存访问断点
3)、
Shift+F9一次—>F2下断点—>Shift+F9一次—>F2下断点—>Shift+F9一次—>取消所有断点
(内存访问断点删除:右键断点—>删除内存断点)
4)、
运行到retn处—>调试—>设置条件 "push ebp"(条件不唯一)—>调试—>跟踪步入—>复制跟踪到的代码(大概3行,具体根据不同语言变化,二进制复制)
ALT+M—>代码段(00401000)下断—>Shift+F9—>根据缺少代码的大小,向上nop相同大小代码,二进制粘贴—>设置新的EIP—>脱壳(不要勾选重建输入表)—>修复
(18)ACProtect之寻找丢失的S
“相关推荐”对你有帮助么?
-
非常没帮助
-
没帮助
-
一般
-
有帮助
-
非常有帮助
提交