脱ACProtected的壳的过程

最新推荐文章于 2024-07-08 19:25:51 发布
最新推荐文章于 2024-07-08 19:25:51 发布
阅读量752 收藏
点赞数
分类专栏: 文章标签: byte 汇编 c
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xum2008/article/details/4801695
版权

 

004254C9 55 push ebp

004254CA 8BEC mov ebp,esp

004254CC 83EC 44 sub esp,44

 

脱ACProtected的壳的过程:

当拿到它的时候,用PEID查壳UltraProtect 1.x -> RISCO Software ,用OD载入后,运行后,记事本直接打开,然后重新开始,右键 分析代码 ,shift + F9 运行,

当停止后,在堆栈窗口找到 SE处理程序,右键 在数据窗口处跟随 ,选中数据窗口前四个数据,下内存访问,shift + F9,当停止时,删除分析的部分,取消所有断点,shift + F9运行,接着来到一个程序的运行领空,F8来到RET, 因为除了 BC++,

汇编的程序外,其他程序的入口都是 PUSH EBP; 在调试那选中设置条件-->命令是一个选上。。打入 PUSH EBP 。。 然后就是 跟踪步入。。耐心==吧。。

当程序再次停下来后,004254C9 55 push ebp

004254CA 8BEC mov ebp, esp

004254CC 83EC 44 sub esp, 44

你会看到它,可以知道他站6个字节。。 也就是说 Stole code ,偷取了六个字节,选中他们,用二进制复制一下, ALT + M 打开内存镜像, 在.Text 处下段,运行后来到

004010D0 /70 4B jo short 0040111D

004010D2 |0100 add dword ptr [eax], eax

004010D4 |0000 add byte ptr [eax], al

004010D6 |0100 add dword ptr [eax], eax

004010D8 |0000 add byte ptr [eax], al

004010DA |0100 add dword ptr [eax], eax

004010DC |0000 add byte ptr [eax], al

004010DE |0100 add dword ptr [eax], eax

004010E0 |0000 add byte ptr [eax], al

004010E2 |0100 add dword ptr [eax], eax

004010E4 |0000 add byte ptr [eax], al

004010E6 |0100 add dword ptr [eax], eax

004010E8 |0000 add byte ptr [eax], al

004010EA |0100 add dword ptr [eax], eax

004010EC |0000 add byte ptr [eax], al

004010EE |0100 add dword ptr [eax], eax

004010F0 |0000 add byte ptr [eax], al

004010F2 |0100 add dword ptr [eax], eax

004010F4 |0000 add byte ptr [eax], al

004010F6 |0100 add dword ptr [eax], eax

004010F8 |0000 add byte ptr [eax], al

004010FA |EB 12 jmp short 0040110E

004010FC |3C 20 cmp al, 20

004010FE |7E 0E jle short 0040110E

00401100 |56 push esi //看到了吗??向上数六字节,

用nop填充 也就是 004010FA ---004010FE ,将前面的那个入口用二进制复制后粘到这,最后重新建一下 EIP

00401101 |FF15 F4644000 call dword ptr [4064F4] ; UltraPro.0040D4C6

最后用 LORDEPE 纠正一下,用 ImportREC 修复;

修复时,填入OEP, 回去输入表时,会发现有很多无效指针,可别剪掉和删除,

机器好的可以用 修复等级三,,还可以用插接 ACProtected(比较快),

修复完成后,会发现还有一个没有处理,别急,双击进入后发现无效指针在 MssageBeep 后,可以断定应该是 MessageBoxExA 了。。确定。。抓取。。

修复。。。运行 OK!!!

就这样搞定了 UltraProtect 1.x -> RISCO Software;;

在调试前,应对OD进行设置:在异常哪,可不要忽略 非法访问内存;

 

专注成就专业_
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ACProtect 2.0 Standard (Stolen Code Restoring)语音教程
LLC
08-18 661
总体来说acprotect的强度并不大,acprotect 偷代码,对输入表处理, 把这些都处理好了,就能acprotect, 以下一篇文章来自upk,对感兴趣的朋友可以看看 http://www.unpack.cn/forum.php?mod=viewthread&tid=74484
ACProtect V1.4X(有Stolen Code)之补区段
weixin_30469895的博客
11-17 166
首先需要说的是,这个是ximo大神视频教程里的 0041F000 > 60 pushad ; //程序入口点 0041F001 E8 01000000 call NgaMy.0041F007 0041F006 E8 83042406 call 0665F...
ACProtect 全系列
02-19
以下系列的,从此ACP就此没落 -ACProtect 1.07, -ACProtect 1.09, -ACProtect 1.09c, -ACProtect 1.09e, -ACProtect 1.09g, -ACProtect 1.10, -ACProtect 1.21, -ACProtect 1.22, -ACProtect 1.22b, -ACProtect 1.23, -ACProtect 1.3? -ACProtect 1.32, -ACProtect 1.35a, -ACProtect 1.40, -ACProtect 1.41, -ACProtect 2.0 忘记说啦,失败可多点几次,他不是每次成功的,但是一定会成功,请多尝试几次
AcProtect 1.41 外分析
loveboom's Reverse Enginering
06-19 9806
【目 标】: 应作者要求,这里不贴上软件名【工 具】:Olydbg1.1(diy版)、LORDPE、ImportREC1.6F 【任 务】:分析外 【操作平台】:Windows 2003 server 【作 者】: LOVEBOOM[DFCG][FCG][US]【相关链接】: ......【简要说明】: ACPROTECT并不多,以前最多只
手动查找 IAT 的方法!!!
xum2008的专栏
11-12 2990
 一个这样的: MoleBox 2.x.x -> Mole Studio 是用 汇编写的;  ***************************** 运用 ESP 定律 达到程序的 OEP (如果在这个过程中,程序出现异常,就将它们添加进异常,继续运行程序,到达OPE,当看到 -jmp后,F7 进入就到了),正常后,发现程序无法运行。。修复时,有两个无效的指针。用
Armadillo 3.78 - 4.xx -> Silicon Realms Toolworks
xum2008的专栏
11-12 2514
 手 Armadillo 3.78 - 4.xx -> Silicon Realms Toolworks 这是一个穿山甲的。。。当运行它后,在任务窗口,只发现有一个进程, 那么我们就用常规的方法来处理它。。。 首先,用OD载入, 下 GetModuleHandleA+5 这个断点,然后 shift+F9 运行。 观察堆栈窗口 001292A4 /0012EBB0
WinUpack 0.39 final -> By Dwing
xum2008的专栏
03-14 1779
WinUpack 0.39 final -> By Dwing 。。。因为想逆向一个东西,无奈,程序加了,IDA 不能识别出里边的一些东西,所以拿起 OD ,开始。。。这是一个压缩,基本上一路 F8然后就会 有一个 ret ,返回就是了: 004FE752     2BC7                  sub eax,edi004FE754     AB    
破解 ASProtect 2.0x Registered -> Alexey Solodovnikov 加程序
xum2008的专栏
11-12 1736
 不破解 ASProtect 2.0x Registered -> Alexey Solodovnikov 加程序 e2h-dist.exe。。 首先用 OD 载入程序。忽略出 int3 外的所有异常。。 运行它。。出现注册对话窗口。。 填入假码和注册信息。。。确定,,出现一个对话框 “invalidus code” 记住它。。暂停后,分析一下代码,搜索-》所有文
UltraProtect 1.x -> RISCO Software Inc
xum2008的专栏
11-12 1521
 手 UltraProtect 1.x -> RISCO Software Inc. 用PEID 查 用OD 载入。。。 分析代码。。。。 不选非法访问内存!!! 可以用ESP定律来取得它的入口地址。。 当然首先应该看一下它是否被抽取了入口代码,将它们隐藏起来了。。 载入后后,可以对代码进行分析,用最后一次异常的方法来到那个 ret 然后打开内存镜像,在代码处内
PEtite 2.x [Level 1/9] -> Ian Luck
xum2008的专栏
11-12 1519
 1: 可以用 变相的 ESP 定律; 程序开始是这样的: 00415042 > B8 00504100 MOV EAX,KeyGen-m.00415000 00415047 68 38214000 PUSH KeyGen-m.00402138 0041504C 64:FF35 00000000 PUSH DWORD PTR FS:[0] 00415053 64:892
ASProtect 1.22 - 1.23 Beta 21 -> Alexey Solodovnikov
xum2008的专栏
11-12 1269
 手 ASProtect 1.22 - 1.23 Beta 21 -> Alexey Solodovnikov 并修复的过程; OD忽略出内存和添加的访问的所有异常; 还是运用最后一次异常的方法,达到程序OEP 达到的目的; 当达到后,打开内存镜像,在CODE 段下断点,运行。。达到OEP。。 ,修复。。。不能运行。。。 为什么??因为程序中还有还有问
汇编学习基础知识【记录】
最新发布
weixin_53070140的博客
07-08 1001
学习汇编
格蠹汇编阅读理解
qiexinyueaifei的博客
07-08 571
一、调试工具使用方式。
K8s 很难么?带你从头到尾捋一遍,不信你学不会
民工哥的博客
02-23 8827
点击关注公众号,回复“1024”获取2TB学习资源!为什么要学习 Kubernetes?虽然 Docker 已经很强大了,但是在实际使用上还是有诸多不便,比如集群管理、资源调度、文件管理等...
10天智能锁项目实战第1天(了解单片机STM32F401RET6和C语言基础)
北豼不太皮的博客
02-21 3273
10天智能锁项目实战第1天(了解单片机STM32F401RET6和C语言基础)一、学习目标二、了解单片机STM32F401RET6三、C语言基础 一、学习目标 二、了解单片机STM32F401RET6 4、STM32F401RE特征 三、C语言基础 1.数据类型 常用2的次方: 2^7 = 128 2^8 = 256 2^15 = 32768 2^16= 65536 51单片机常见的数据类型: char: 占内存1字节 取值范围:-128~127 -2^7 ~ 2
Android开发(1) | Fragment 的应用——新闻应用
Jormungand_V的博客
02-21 3720
文章目录 news_item.xml: <TextView xmlns:android="http://schemas.android.com/apk/res/android" android:id="@+id/news_title" android:layout_width="match_parent" android:layout_height="wrap_content" android:lines="1" android:ellipsize="
系统学习 TypeScript(四)——变量声明的初步学习
编程三昧
02-25 1543
认识了 TypeScript 中的基础类型,接下来当然是变量声明的相关学习了,我在这里记录一下我学习过程中的一些总结。
清除浮动的五种方法
weixin_52212950的博客
02-22 2478
为什么要清除浮动?因为往往浮动后的子元素因为离了标准流,不能自动撑起父元素的高度,所以会对后续布局产生影响,对此清除浮动不如理解为清除浮动产生的影响更为合理。 例如:我们设置了两个盒子如图所示,粉色为父盒子,只有宽度没有高度,蓝色盒子有宽有高,粉色盒子的高由蓝盒子的高度撑开。 但是给蓝色的子盒子设置了左浮动后,离了标准流,无法再撑开粉盒子,可以看到粉盒子高度变成了0; 清除浮动有五种方法: 直接设置父元素的高度 额外标签法 单伪元素法 双伪元素法 ove.
HTML实现学习网站首页
做技术,坚持才是最重要的,一时的热情只是暂时的进步
02-20 3996
项目访问 reset.css /* http://meyerweb.com/eric/tools/css/reset/ v2.0 | 20110126 License: none (public domain) */ html, body, div, span, applet, object, iframe, h1, h2, h3, h4, h5, h6, p, blockquote, pre, a, abbr, acronym, address, big, cite, code, del

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值