ACProtect unpack record2

最新推荐文章于 2022-02-23 15:02:25 发布
最新推荐文章于 2022-02-23 15:02:25 发布
阅读量601 收藏
点赞数
分类专栏: 壳的世界 文章标签: byte c db2 2010
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mingyuanlove/article/details/7738547
版权 
//2012-07-11
0044219E  ^\0F85 C3FEFFFF   jnz MyUnpack.00442067

0044238C  ^\0F85 DEFEFFFF   jnz MyUnpack.00442270

0043D15E    83C1 04         add ecx,0x4
0043D161    83C2 FF         add edx,-0x1
0043D164  ^ 0F85 E2FFFFFF   jnz MyUnpack.0043D14C

0044219D    4E              dec esi
0044219E  ^ 0F85 C3FEFFFF   jnz MyUnpack.00442067

0044238B    4E              dec esi
0044238C  ^ 0F85 DEFEFFFF   jnz MyUnpack.00442270
00442392    EB 0B           jmp short MyUnpack.0044239F


00442591    83C1 FF         add ecx,-0x1
00442594  ^ 0F85 CCFEFFFF   jnz MyUnpack.00442466

004427A7    4D              dec ebp
004427A8  ^ 0F85 C1FEFFFF   jnz MyUnpack.0044266F
004427AE    EB 0B           jmp short MyUnpack.004427BB

004429C9    83C3 FF         add ebx,-0x1
004429CC  ^ 0F85 C6FEFFFF   jnz MyUnpack.00442898
004429D2    76 0E           jbe short MyUnpack.004429E2

00440511    8B95 46F84000   mov edx,dword ptr ss:[ebp+0x40F846]      ; MyUnpack.00400000
00440517    8B06            mov eax,dword ptr ds:[esi]
00440519    0BC0            or eax,eax
0044051B    75 07           jnz short MyUnpack.00440524
0044051D    90              nop
0044051E    90              nop
0044051F    90              nop
00440520    90              nop
00440521    8B46 10         mov eax,dword ptr ds:[esi+0x10]
00440524    03C2            add eax,edx
00440526    0385 42F84000   add eax,dword ptr ss:[ebp+0x40F842]
0044052C    8B18            mov ebx,dword ptr ds:[eax]
0044052E    8B7E 10         mov edi,dword ptr ds:[esi+0x10]
00440531    03FA            add edi,edx
00440533    03BD 42F84000   add edi,dword ptr ss:[ebp+0x40F842]
00440539    85DB            test ebx,ebx
0044053B    0F84 62010000   je MyUnpack.004406A3
00440541    F7C3 00000080   test ebx,0x80000000
00440547    75 1D           jnz short MyUnpack.00440566
00440549    90              nop
0044054A    90              nop
0044054B    90              nop
0044054C    90              nop
0044054D    03DA            add ebx,edx
0044054F    83C3 02         add ebx,0x2
00440552    56              push esi
00440553    57              push edi
00440554    50              push eax
00440555    8BF3            mov esi,ebx
00440557    8BFB            mov edi,ebx
00440559    AC              lods byte ptr ds:[esi]
0044055A    C0C0 03         rol al,0x3
0044055D    AA              stos byte ptr es:[edi]
0044055E    803F 00         cmp byte ptr ds:[edi],0x0
00440561  ^ 75 F6           jnz short MyUnpack.00440559
00440563    58              pop eax
00440564    5F              pop edi
00440565    5E              pop esi
00440566    3B9D 46F84000   cmp ebx,dword ptr ss:[ebp+0x40F846]
0044056C    7C 11           jl short MyUnpack.0044057F
0044056E    90              nop
0044056F    90              nop
00440570    90              nop
00440571    90              nop
00440572    83BD 1A204000 0>cmp dword ptr ss:[ebp+0x40201A],0x0
00440579    75 0A           jnz short MyUnpack.00440585
0044057B    90              nop
0044057C    90              nop
0044057D    90              nop
0044057E    90              nop
0044057F    81E3 FFFFFF0F   and ebx,0xFFFFFFF
00440585    53              push ebx
00440586    FFB5 3EF84000   push dword ptr ss:[ebp+0x40F83E]
0044058C    FF95 108B4100   call dword ptr ss:[ebp+0x418B10]
00440592    3B9D 46F84000   cmp ebx,dword ptr ss:[ebp+0x40F846]
00440598    7C 0F           jl short MyUnpack.004405A9
0044059A    90              nop
0044059B    90              nop
0044059C    90              nop
0044059D    90              nop
0044059E    60              pushad
0044059F    2BC0            sub eax,eax
004405A1    8803            mov byte ptr ds:[ebx],al
004405A3    43              inc ebx
004405A4    3803            cmp byte ptr ds:[ebx],al
004405A6  ^ 75 F9           jnz short MyUnpack.004405A1
004405A8    61              popad
004405A9    0BC0            or eax,eax
004405AB  ^ 0F84 15FFFFFF   je MyUnpack.004404C6
004405B1    3B85 208B4100   cmp eax,dword ptr ss:[ebp+0x418B20]
004405B7    74 20           je short MyUnpack.004405D9
004405B9    90              nop
004405BA    90              nop
004405BB    90              nop
004405BC    90              nop
004405BD    3B85 C4FD4000   cmp eax,dword ptr ss:[ebp+0x40FDC4]
004405C3    74 09           je short MyUnpack.004405CE
004405C5    90              nop
004405C6    90              nop
004405C7    90              nop
004405C8    90              nop
004405C9    EB 14           jmp short MyUnpack.004405DF
004405CB    90              nop
004405CC    90              nop
004405CD    90              nop
004405CE    8D85 31FE4000   lea eax,dword ptr ss:[ebp+0x40FE31]
004405D4    EB 09           jmp short MyUnpack.004405DF
004405D6    90              nop
004405D7    90              nop
004405D8    90              nop
004405D9    8D85 4BFE4000   lea eax,dword ptr ss:[ebp+0x40FE4B]
004405DF    56              push esi
004405E0    FFB5 3EF84000   push dword ptr ss:[ebp+0x40F83E]
004405E6    5E              pop esi
004405E7    39B5 12204000   cmp dword ptr ss:[ebp+0x402012],esi
004405ED    74 15           je short MyUnpack.00440604
004405EF    90              nop
004405F0    90              nop
004405F1    90              nop
004405F2    90              nop
004405F3    39B5 16204000   cmp dword ptr ss:[ebp+0x402016],esi
004405F9    74 09           je short MyUnpack.00440604
004405FB    90              nop
004405FC    90              nop
004405FD    90              nop
004405FE    90              nop
004405FF    EB 63           jmp short MyUnpack.00440664
00440601    90              nop
00440602    90              nop
00440603    90              nop
00440604    80BD 16564100 0>cmp byte ptr ss:[ebp+0x415616],0x0
0044060B    74 57           je short MyUnpack.00440664
0044060D    90              nop
0044060E    90              nop
0044060F    90              nop
00440610    90              nop
00440611    EB 07           jmp short MyUnpack.0044061A
00440613    90              nop
00440614    90              nop
00440615    90              nop
00440616    0000            add byte ptr ds:[eax],al
00440618    0000            add byte ptr ds:[eax],al
0044061A    8BB5 0BF94000   mov esi,dword ptr ss:[ebp+0x40F90B]
00440620    83C6 0D         add esi,0xD
00440623    81EE 02184000   sub esi,MyUnpack.00401802
00440629    2BF5            sub esi,ebp
0044062B    83FE 00         cmp esi,0x0
0044062E    7F 34           jg short MyUnpack.00440664
00440630    90              nop
00440631    90              nop
00440632    90              nop
00440633    90              nop
00440634    8BB5 0BF94000   mov esi,dword ptr ss:[ebp+0x40F90B]
0044063A    53              push ebx
0044063B    50              push eax
0044063C    E8 8DB2FFFF     call MyUnpack.0043B8CE
00440641    8BD8            mov ebx,eax
00440643    58              pop eax
00440644    33C3            xor eax,ebx
00440646    C606 68         mov byte ptr ds:[esi],0x68
00440649    8946 01         mov dword ptr ds:[esi+0x1],eax
0044064C    C746 05 8134240>mov dword ptr ds:[esi+0x5],0x243481
00440653    895E 08         mov dword ptr ds:[esi+0x8],ebx
00440656    C646 0C C3      mov byte ptr ds:[esi+0xC],0xC3
0044065A    5B              pop ebx
0044065B    8BC6            mov eax,esi
0044065D    8385 0BF94000 0>add dword ptr ss:[ebp+0x40F90B],0xD
00440664    5E              pop esi
00440665    60              pushad
00440666    8BD0            mov edx,eax
00440668    2BBD 46F84000   sub edi,dword ptr ss:[ebp+0x40F846]
0044066E    8BC7            mov eax,edi
00440670    B9 01010000     mov ecx,0x101
00440675    8DBD EBEC4000   lea edi,dword ptr ss:[ebp+0x40ECEB]
0044067B    F2:AF           repne scas dword ptr es:[edi]
0044067D    0BC9            or ecx,ecx
0044067F    74 13           je short MyUnpack.00440694
00440681    90              nop
00440682    90              nop
00440683    90              nop
00440684    90              nop
00440685    81E9 01010000   sub ecx,0x101
0044068B    F7D1            not ecx
0044068D    89948D EBE84000 mov dword ptr ss:[ebp+ecx*4+0x40E8EB],ed>
00440694    61              popad
00440695    8907            mov dword ptr ds:[edi],eax
00440697    8385 42F84000 0>add dword ptr ss:[ebp+0x40F842],0x4
0044069E  ^ E9 6EFEFFFF     jmp MyUnpack.00440511
004406A3    83C6 14         add esi,0x14
004406A6    8B95 46F84000   mov edx,dword ptr ss:[ebp+0x40F846]
004406AC  ^ E9 D0FDFFFF     jmp MyUnpack.00440481
004406B1    8DBD EBEC4000   lea edi,dword ptr ss:[ebp+0x40ECEB]
004406B7    33C0            xor eax,eax
004406B9    B9 00010000     mov ecx,0x100
004406BE    F3:AB           rep stos dword ptr es:[edi]
004406C0    60              pushad
004406C1    E8 00000000     call MyUnpack.004406C6
004406C6    5E              pop esi
004406C7    83EE 06         sub esi,0x6
004406CA    B9 70020000     mov ecx,0x270
004406CF    29CE            sub esi,ecx
004406D1    BA 37F5381C     mov edx,0x1C38F537
004406D6    C1E9 02         shr ecx,0x2
004406D9    83E9 02         sub ecx,0x2
004406DC    83F9 00         cmp ecx,0x0
004406DF    7C 1A           jl short MyUnpack.004406FB
004406E1    8B048E          mov eax,dword ptr ds:[esi+ecx*4]
004406E4    8B5C8E 04       mov ebx,dword ptr ds:[esi+ecx*4+0x4]
004406E8    03C3            add eax,ebx
004406EA    C1C0 04         rol eax,0x4
004406ED    03C2            add eax,edx
004406EF    81C2 6E023BA5   add edx,0xA53B026E
004406F5    89048E          mov dword ptr ds:[esi+ecx*4],eax
004406F8    49              dec ecx
004406F9  ^ EB E1           jmp short MyUnpack.004406DC
004406FB    61              popad
004406FC    61              popad
004406FD    E8 D9D9FFFF     call MyUnpack.0043E0DB
00440702    C3              retn
00440703    0000            add byte ptr ds:[eax],al
00440705    0000            add byte ptr ds:[eax],al
00440707    0000            add byte ptr ds:[eax],al
00440709    0000            add byte ptr ds:[eax],al
0044070B    64:0000         add byte ptr fs:[eax],al
0044070E    0052 45         add byte ptr ds:[edx+0x45],dl
00440711    4C              dec esp
00440712    4F              dec edi
00440713    43              inc ebx
00440714    41              inc ecx
00440715    43              inc ebx
00440716    50              push eax
00440717    0000            add byte ptr ds:[eax],al
00440719    0000            add byte ptr ds:[eax],al
0044071B    0000            add byte ptr ds:[eax],al
0044071D    0000            add byte ptr ds:[eax],al


继续上次跟踪ACProtect ,好像感觉要进入OEP了,

perfectplug
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ACProtect 全系列脱壳机
02-19
可脱以下系列的壳,从此ACP就此没落 -ACProtect 1.07, -ACProtect 1.09, -ACProtect 1.09c, -ACProtect 1.09e, -ACProtect 1.09g, -ACProtect 1.10, -ACProtect 1.21, -ACProtect 1.22, -ACProtect 1.22b, -ACProtect 1.23, -ACProtect 1.3? -ACProtect 1.32, -ACProtect 1.35a, -ACProtect 1.40, -ACProtect 1.41, -ACProtect 2.0 忘记说啦,失败可多点几次,他不是每次成功的,但是一定会成功,请多尝试几次
ACProtect unpack record1
LLC
05-27 403
异常 0043D996 33C0 xor eax,eax 0043D998 64:FF30 push dword ptr fs:[eax] 0043D99B 64:8920 mov dword ptr fs:[eax],esp 0043D99E CC int3 0043D99F
ACProtect ——脱壳
sxr__nc的博客
12-11 804
这个程序是自己手动写的一个小程序,然后用ACProtect加壳工具手动加科之后再脱的,之前在网上看过一些资料,在脱ACProtect’壳的时候,需要忽略异常什么的,但是我在脱这个壳的时候并没有碰到异常的情况,接下来就介绍一下脱壳过程。 0x00 查壳 0x01程序运行 0x02调试脱壳 此次脱壳使用的方法是内存镜像法,首先在数据段下断点,运行之后断下来,之后在text段下断点之后再运行(把数...
笔记二ACProtect
N1an_
08-17 459
六、脱ACProtect132(无Stolen Code) 1。设置异常,隐藏OD 2。shift+f9 最后一次异常法,SE处下内存访问断点 3。SHIFT+F9,F2,再一次SHIFT+F9,下断,再一次SHIFT+F9 4,取消所有断点 5,内存,00401000。F2,SHIFT+F9 6,直达OEP!! 7。修复,脱壳成功 七、常规方法,直达OEP 修复被偷取的
ACProtect1.32壳的分析以及对抽取代码的修补
m0_37120576的博客
05-01 489
我们都知道,有调试技术,就有反调试技术,ACProrect这个壳就用到了反调试技术,它会检测调试软件OD,来分析自己的程序是否被调试。 脱ACProtect1.32壳的步骤: 这个壳可能会检测OD进行反调试,所以,我们需要利用SOD中的隐藏OD功能。然后我们设置非法访问内存的异常不忽略,然后很明显我们需要利用最后一次异常法来解决这个问题。在我分析的这个程序里面,程序在int 1 之后就会跑飞,
ACProtect壳2.0版本的分析
m0_37120576的博客
05-01 615
随着壳的更新,保护技术也在不断的更新,那么我们在这里分析下2.0版本的ACP壳。 我们在将程序载入OD之后。选择SOD的OD隐藏,然后选择取消内存访问忽略,开始shift+F9,还是上次的程序,来到了int1,然后找到E句柄,数据窗口跟随,下断,shift+F9,下断,然后再次shift+F9 下断,然后再次shift+F9,然后取消所有的断点,点击M,00401000,F2下断,shift +
ACProtect2.0脱壳
weixin_30872337的博客
03-02 380
这上以前加入黑手安全网上做的教程,也搬过来吧 目标程序:红盟(内部版)TNT社工辅助.exe所加的壳:ACProtect 2.00 - RISCO Software Inc. 首先忽略所有异常,隐藏下od 脱壳步骤:1.程序附加(程序附加后会停在系统的领空)代码:7C92120F C3 RETN7C921210 8BFF MOV EDI,EDI7C921212 > CC INT3...
AcProtect 1.41 外壳分析
loveboom's Reverse Enginering
06-19 9773
【目 标】: 应作者要求,这里不贴上软件名【工 具】:Olydbg1.1(diy版)、LORDPE、ImportREC1.6F 【任 务】:分析外壳 【操作平台】:Windows 2003 server 【作 者】: LOVEBOOM[DFCG][FCG][US]【相关链接】: ......【简要说明】: 脱ACPROTECT的壳并不多,以前最多只
手脱ACProtect v1.35(有Stolen Code)
weixin_30273763的博客
11-15 130
1.载入PEID ACProtect v1.35 -> risco software Inc. & Anticrack Soft 2.载入OD,需要注意的是,异常选项除了[内存访问异常]外其他全部勾选上,然后shift+F9运行至最后一次异常,是1次之后。第二次程序就跑飞了 00436000 > 60 pushad ...
ACProtect2.0加壳工具
09-28
ACPProtect 最好用的加壳工具,亲测好用无毒
ACProtect 执行文件加壳
07-09
ACProtect 执行文件加壳。中国文汉化版。
ACProtect对OEP的处理
07-10
ACProtect对OEP的处理 加密壳 加密解密 OEP 加壳
ACProtect2.1
03-13
ACProtect2.1ACProtect2.1ACProtect2.1ACProtect2.1ACProtect2.1ACProtect2.1ACProtect2.1ACProtect2.1ACProtect2.1ACProtect2.1ACProtect2.1ACProtect2.1ACProtect2.1ACProtect2.1ACProtect2.1ACProtect2.1...
手脱ACProtect V2.0(无Stolen Code)
weixin_30791095的博客
11-15 78
1.载入PEID ACProtect V2.0 -> risco 2.载入OD 00401000 > 68 00A04000 push ACP_Feed.0040A000 ; //入口点 00401005 68 0B104000 push ACP_Feed.0040100B 0040100A ...
ACProtect 一段代码自修改片段
LLC
09-26 761
0043B0FF 83EE 06 sub esi,0x6 0043B102 B9 02010000 mov ecx,0x102 0043B107 29CE sub esi,ecx 0043B109 BA 408996C7 mov edx,0xC7968940 0043B10E C1E9 02
PE文件学习之一 文件内容的分部
LLC
10-01 661
对于PE文件格式的学习,暂且只看文件格式,用WinHex来看看这个文件,看看用到的数据结构,看看文件内容的分部: PE文件的分部大致如下图所示: 1.DOS头(IMAGE_DOS_HEADER) 2.NT头(IMAGE_NT_HEADERS32 ,IMAGE_FILE_HEADER,IMAGE_OPTIONAL_HEADER32) 3.区段头(IMAGE_SECTION_HEADER)
K8s 很难么?带你从头到尾捋一遍,不信你学不会
民工哥的博客
02-23 8781
点击关注公众号,回复“1024”获取2TB学习资源!为什么要学习 Kubernetes?虽然 Docker 已经很强大了,但是在实际使用上还是有诸多不便,比如集群管理、资源调度、文件管理等...
10天智能锁项目实战第1天(了解单片机STM32F401RET6和C语言基础)
北豼不太皮的博客
02-21 3198
10天智能锁项目实战第1天(了解单片机STM32F401RET6和C语言基础)一、学习目标二、了解单片机STM32F401RET6三、C语言基础 一、学习目标 二、了解单片机STM32F401RET6 4、STM32F401RE特征 三、C语言基础 1.数据类型 常用2的次方: 2^7 = 128 2^8 = 256 2^15 = 32768 2^16= 65536 51单片机常见的数据类型: char: 占内存1字节 取值范围:-128~127 -2^7 ~ 2
Android开发(1) | Fragment 的应用——新闻应用
Jormungand_V的博客
02-21 3668
文章目录 news_item.xml: <TextView xmlns:android="http://schemas.android.com/apk/res/android" android:id="@+id/news_title" android:layout_width="match_parent" android:layout_height="wrap_content" android:lines="1" android:ellipsize="

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值