脚本之家 服务器常用软件
快捷导航
您的位置:主页 > 网络安全 > 加密解密 >

ACProtect Professional 1.3C 主程序脱壳(1)(图)

互联网   发布时间:2008-10-08 19:01:32   作者:佚名   我要评论
脱壳过程感觉与Unpacking Saga的那个UnpackMe没有太大的不同。最明显的一点是,其中的异常多了很多。大部分是固定模式的int 3解码。因为一开始打算全程跟,所以一边跟一边修改去除junk code的IDC script,写OllyScript脚本,并用WinHex把解出的代码贴到ACProtect_Fixed.exe,在
是否为MessageBoxA或RegisterHotKey(这个比较少见J)? 是则替换api地址。


下面检查dll的映射地址是否为kernel32.dll或user32.dll。


这里通不过检查,就不做处理,直接把API的地址保存到IAT了。否则:

写IAT:


用脚本执行到这一段,patch掉4处的跳转,在处理完全部dll的地方下断,用ImportRec得到完整的IAT,全部有效。




size = 6E3828 – 6E3140 = 6E8


注意此时OEP不对。但IAT已经拿到了。先把tree保存起来。


3. 寻找OEP

得到IAT后,试试忽略所有异常,到这里已经可以在OllyDbg下执行了。试了一下,关闭其它异常,只留下int 3,还要shift-F9 60次才能运行L。这样一步步跟不把人累死。算了,先换省力的办法吧。

干脆,在执行目前的script停下后,忽略所有异常。对Code section下内存访问断点。



上一页 1 23 下一页 阅读全文

相关文章

最新评论

关注微信公众号

扫一扫