ACProtect脱壳――同益起名大师 V3.36-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

ACProtect脱壳――同益起名大师 V3.36

发表于: 2005-4-24 21:53 33504

ACProtect脱壳――同益起名大师 V3.36

fly

2005-4-24 21:53

33504

查看主题内容

收藏・0

免费・7

支持

最新回复 (75) ◀ 1 2 3 4 ▶
qINGfENG 雪币： 230 活跃值： (180) 能力值： ( LV10，RANK：170 ) 在线值：发帖 7 回帖 34 粉丝 1 关注私信	qINGfENG 4 26 楼最初由 Aming 发布支持啊，FLY真是我偶像~~~~ 2005-4-25 18:37 0
moon 雪币： 253 活跃值： (250) 能力值： ( LV9，RANK：210 ) 在线值：发帖 29 回帖 271 粉丝 1 关注私信	moon 5 27 楼这个东东巨麻烦，fly大侠的功力真强呀 2005-4-25 19:31 0
okdodo 雪币： 233 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 12 回帖 396 粉丝 1 关注私信	okdodo 2 28 楼最初由 fly 发布笔误，已修正跟踪进去，001455EA的地方应该是壳申请的再跟踪原版看是哪里初始化的脱壳我很菜啊：（是否用这段中类似的方法？ “六、修复壳中初始化数据之2” 能否提示一下关键点？ 2005-4-26 09:55 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 29 楼采用“修复壳中初始化数据之1/2”的方法看看 2005-4-26 11:12 0
okdodo 雪币： 233 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 12 回帖 396 粉丝 1 关注私信	okdodo 2 30 楼谢谢FLY兄指点！能否说说怎么确定原版goodname.exe中的内存断点位置以便分析？我载入dumped.exe并忽略内存断点后直接按shift+f9就停在了访问违反处001455EA，而不是类似于你文中的006XXXXX段。恳请再次指点。 2005-4-26 13:08 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 31 楼设置OllyDbg不忽略内存访问异常选项，载入dumped.exe 2005-4-26 13:28 0
okdodo 雪币： 233 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 12 回帖 396 粉丝 1 关注私信	okdodo 2 32 楼 oh 已经经过这样设置了：（刚刚跟踪了一下发现运行过下面代码后 0042F1F3 \|. FF15 00095800 CALL DWORD PTR DS:[580900] 001455EA处被清零了导致下次call 001455EA 出现访问违反能否麻烦FLY帮忙跟踪一下？如果需要我可以先给你个序列号进行调试谢谢了。 2005-4-26 13:58 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 33 楼自己跟踪 2005-4-26 14:05 0
okdodo 雪币： 233 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 12 回帖 396 粉丝 1 关注私信	okdodo 2 34 楼再试试吧：（请问按照FLY斑竹文中进行脱壳后的程序可以正常运行吗？能否发一份你的dumped.exe文件到 okdodo@126.com 先谢了！ 2005-4-26 14:11 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 35 楼脱壳需要耐心和细心如果脱壳后无法正常运行，我也不会花时间来写这篇教程 2005-4-26 17:29 0
okdodo 雪币： 233 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 12 回帖 396 粉丝 1 关注私信	okdodo 2 36 楼嗯. 我已经跟踪这个壳很久了，苦于水平太菜，一直不得其法：（我又反复跟踪并与原版进行比较，发现原版与脱壳后的程序在内存段7FFDE1B4(od中alt+m后看到这段包含"data block of 主要线程")处数据有很大不同，本打算下内存断点跟踪，却发现根本无法下断(OD提示在7FFDE1B4..7FFDE1B4范围无法激活内存断点) ：（郁闷死了。。。恳请FLY斑竹指点接下来该如何继续进行跟踪! 2005-4-26 18:00 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 37 楼某些时候放弃未尝也不是一种正确选择我也放弃过许多无法脱壳的程序 2005-4-26 23:07 0
okdodo 雪币： 233 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 12 回帖 396 粉丝 1 关注私信	okdodo 2 38 楼嗯～总之还是谢谢FLY斑竹的指点。 2005-4-27 09:08 0
sundays 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	sundays 39 楼天书，学习学习 2005-4-27 11:40 0
snow 雪币： 200 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 52 粉丝 0 关注私信	snow 40 楼本壳ACProtect和上次的 Ultra Protect 怎么有那么多的相似的壳代码？搞定上次的那个，能不能搞定这次的这个壳？呵呵。。。闲聊。。 Ultra Protect壳最终也没有学习成功，身上也有点小事，暂时没有空学习了。。不过过一段时间再回来学吧？。这个贴子也收了。。呵呵。。。。 2005-4-27 15:11 0
okdodo 雪币： 233 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 12 回帖 396 粉丝 1 关注私信	okdodo 2 41 楼郁闷中还得再次请教一下FLY斑竹：我是在windows xp sp2环境下用lordpe1.4进行脱壳的，但始终有一处访问违反的错误：（能否告诉我您的Lordpe是如何设置的？谢谢！ 2005-4-29 12:54 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 42 楼看左边的task viewer 2005-4-29 12:57 0
okdodo 雪币： 233 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 12 回帖 396 粉丝 1 关注私信	okdodo 2 43 楼谢谢重新试验还是不行：（我用了几种OD测试都有问题(但出现访问违反的位置有所不同)，请问FLY斑竹用的什么OD脱壳的? 2005-4-29 13:45 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 44 楼 OllyDbg汉化版应该不是工具的原因是脱壳时操作的问题 2005-4-29 13:46 0
okdodo 雪币： 233 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 12 回帖 396 粉丝 1 关注私信	okdodo 2 45 楼 FLY斑竹：我试验N次均未成功我这里说一下我的脱壳步骤： 1. Ctrl+G：GetModuleHandleA 设置内存访问断点 Shift+F9运行，中断后取消断点。Alt+F9返回 2. 直接F4至0068EC9A，并NOP掉此处代码 3. 在00690848处下内存访问断点，Shift+F9运行，中断后取消断点，并NOP掉此处代码。 4. NOP掉其它三处(006908B5,0069095D,00690A51) 5. F4运行到00690A73 6. 运行LordPE完全Dump出这个进程，修正dumped.exe的 Import Table RVA=00181000 7. 修改入口代码及stolencode 进行完上述步骤后运行到0057A4E1处出错恳请再次指点，如果需要我可以发我脱壳后的文件。 2005-4-30 12:58 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 46 楼放一下你脱壳修复后的文件看看 2005-4-30 13:41 0
okdodo 雪币： 233 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 12 回帖 396 粉丝 1 关注私信	okdodo 2 47 楼文件大了点：（麻烦FLY斑竹到下面的网址下载，谢谢。 http://pickup.mofile.com/4304291599213726 2005-4-30 13:55 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 48 楼改1个字节就可以运行了 0068E76A C3 retn //壳运行过会把这里修改为C3，因此我们要重新跟踪得到此处的代码：60 修改之可能你漏看了这句 2005-4-30 16:25 0
okdodo 雪币： 233 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 12 回帖 396 粉丝 1 关注私信	okdodo 2 49 楼吐血ing ：（太不细心了谢谢FLY指点~~ 2005-4-30 17:04 0
moon 雪币： 253 活跃值： (250) 能力值： ( LV9，RANK：210 ) 在线值：发帖 29 回帖 271 粉丝 1 关注私信	moon 5 50 楼 okdodo：你在这里学会了脱它的壳，是不是也该奉献出一点什么了？ 2005-5-4 20:19 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

fly

294

发帖

7686

回帖

3410

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (75) ◀ 1 2 3 4 ▶
qINGfENG 雪币： 230 活跃值： (180) 能力值： ( LV10，RANK：170 ) 在线值：发帖 7 回帖 34 粉丝 1 关注私信	qINGfENG 4 26 楼最初由 Aming 发布支持啊，FLY真是我偶像~~~~ 2005-4-25 18:37 0
moon 雪币： 253 活跃值： (250) 能力值： ( LV9，RANK：210 ) 在线值：发帖 29 回帖 271 粉丝 1 关注私信	moon 5 27 楼这个东东巨麻烦，fly大侠的功力真强呀 2005-4-25 19:31 0
okdodo 雪币： 233 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 12 回帖 396 粉丝 1 关注私信	okdodo 2 28 楼最初由 fly 发布笔误，已修正跟踪进去，001455EA的地方应该是壳申请的再跟踪原版看是哪里初始化的脱壳我很菜啊：（是否用这段中类似的方法？ “六、修复壳中初始化数据之2” 能否提示一下关键点？ 2005-4-26 09:55 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 29 楼采用“修复壳中初始化数据之1/2”的方法看看 2005-4-26 11:12 0
okdodo 雪币： 233 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 12 回帖 396 粉丝 1 关注私信	okdodo 2 30 楼谢谢FLY兄指点！能否说说怎么确定原版goodname.exe中的内存断点位置以便分析？我载入dumped.exe并忽略内存断点后直接按shift+f9就停在了访问违反处001455EA，而不是类似于你文中的006XXXXX段。恳请再次指点。 2005-4-26 13:08 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 31 楼设置OllyDbg不忽略内存访问异常选项，载入dumped.exe 2005-4-26 13:28 0
okdodo 雪币： 233 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 12 回帖 396 粉丝 1 关注私信	okdodo 2 32 楼 oh 已经经过这样设置了：（刚刚跟踪了一下发现运行过下面代码后 0042F1F3 \|. FF15 00095800 CALL DWORD PTR DS:[580900] 001455EA处被清零了导致下次call 001455EA 出现访问违反能否麻烦FLY帮忙跟踪一下？如果需要我可以先给你个序列号进行调试谢谢了。 2005-4-26 13:58 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 33 楼自己跟踪 2005-4-26 14:05 0
okdodo 雪币： 233 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 12 回帖 396 粉丝 1 关注私信	okdodo 2 34 楼再试试吧：（请问按照FLY斑竹文中进行脱壳后的程序可以正常运行吗？能否发一份你的dumped.exe文件到 okdodo@126.com 先谢了！ 2005-4-26 14:11 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 35 楼脱壳需要耐心和细心如果脱壳后无法正常运行，我也不会花时间来写这篇教程 2005-4-26 17:29 0
okdodo 雪币： 233 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 12 回帖 396 粉丝 1 关注私信	okdodo 2 36 楼嗯. 我已经跟踪这个壳很久了，苦于水平太菜，一直不得其法：（我又反复跟踪并与原版进行比较，发现原版与脱壳后的程序在内存段7FFDE1B4(od中alt+m后看到这段包含"data block of 主要线程")处数据有很大不同，本打算下内存断点跟踪，却发现根本无法下断(OD提示在7FFDE1B4..7FFDE1B4范围无法激活内存断点) ：（郁闷死了。。。恳请FLY斑竹指点接下来该如何继续进行跟踪! 2005-4-26 18:00 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 37 楼某些时候放弃未尝也不是一种正确选择我也放弃过许多无法脱壳的程序 2005-4-26 23:07 0
okdodo 雪币： 233 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 12 回帖 396 粉丝 1 关注私信	okdodo 2 38 楼嗯～总之还是谢谢FLY斑竹的指点。 2005-4-27 09:08 0
sundays 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	sundays 39 楼天书，学习学习 2005-4-27 11:40 0
snow 雪币： 200 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 52 粉丝 0 关注私信	snow 40 楼本壳ACProtect和上次的 Ultra Protect 怎么有那么多的相似的壳代码？搞定上次的那个，能不能搞定这次的这个壳？呵呵。。。闲聊。。 Ultra Protect壳最终也没有学习成功，身上也有点小事，暂时没有空学习了。。不过过一段时间再回来学吧？。这个贴子也收了。。呵呵。。。。 2005-4-27 15:11 0
okdodo 雪币： 233 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 12 回帖 396 粉丝 1 关注私信	okdodo 2 41 楼郁闷中还得再次请教一下FLY斑竹：我是在windows xp sp2环境下用lordpe1.4进行脱壳的，但始终有一处访问违反的错误：（能否告诉我您的Lordpe是如何设置的？谢谢！ 2005-4-29 12:54 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 42 楼看左边的task viewer 2005-4-29 12:57 0
okdodo 雪币： 233 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 12 回帖 396 粉丝 1 关注私信	okdodo 2 43 楼谢谢重新试验还是不行：（我用了几种OD测试都有问题(但出现访问违反的位置有所不同)，请问FLY斑竹用的什么OD脱壳的? 2005-4-29 13:45 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 44 楼 OllyDbg汉化版应该不是工具的原因是脱壳时操作的问题 2005-4-29 13:46 0
okdodo 雪币： 233 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 12 回帖 396 粉丝 1 关注私信	okdodo 2 45 楼 FLY斑竹：我试验N次均未成功我这里说一下我的脱壳步骤： 1. Ctrl+G：GetModuleHandleA 设置内存访问断点 Shift+F9运行，中断后取消断点。Alt+F9返回 2. 直接F4至0068EC9A，并NOP掉此处代码 3. 在00690848处下内存访问断点，Shift+F9运行，中断后取消断点，并NOP掉此处代码。 4. NOP掉其它三处(006908B5,0069095D,00690A51) 5. F4运行到00690A73 6. 运行LordPE完全Dump出这个进程，修正dumped.exe的 Import Table RVA=00181000 7. 修改入口代码及stolencode 进行完上述步骤后运行到0057A4E1处出错恳请再次指点，如果需要我可以发我脱壳后的文件。 2005-4-30 12:58 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 46 楼放一下你脱壳修复后的文件看看 2005-4-30 13:41 0
okdodo 雪币： 233 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 12 回帖 396 粉丝 1 关注私信	okdodo 2 47 楼文件大了点：（麻烦FLY斑竹到下面的网址下载，谢谢。 http://pickup.mofile.com/4304291599213726 2005-4-30 13:55 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 48 楼改1个字节就可以运行了 0068E76A C3 retn //壳运行过会把这里修改为C3，因此我们要重新跟踪得到此处的代码：60 修改之可能你漏看了这句 2005-4-30 16:25 0
okdodo 雪币： 233 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 12 回帖 396 粉丝 1 关注私信	okdodo 2 49 楼吐血ing ：（太不细心了谢谢FLY指点~~ 2005-4-30 17:04 0
moon 雪币： 253 活跃值： (250) 能力值： ( LV9，RANK：210 ) 在线值：发帖 29 回帖 271 粉丝 1 关注私信	moon 5 50 楼 okdodo：你在这里学会了脱它的壳，是不是也该奉献出一点什么了？ 2005-5-4 20:19 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复