首页
社区
课程
招聘
ACProtect脱壳――同益起名大师 V3.36
发表于: 2005-4-24 21:53 33527

ACProtect脱壳――同益起名大师 V3.36

fly 活跃值
85
2005-4-24 21:53
33527
收藏
免费 7
支持
分享
最新回复 (75)
雪    币: 185
活跃值: (33)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
51
最初由 fly 发布
Ctrl+G:GetModuleHandleA 设置内存访问断点
Shift+F9运行
........


很菜很菜地问:
每次到这里(Shift + F9)
左下角信息栏内都提示:"进程已经终止,退出代码 C0000005 (-1073741819)"

刚学着用OD脱壳,见笑了

2005-5-4 22:52
0
雪    币: 203
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
UPX
52
刚开始学习脱壳就从压缩壳等弱壳开始入手
2005-5-5 09:31
0
雪    币: 185
活跃值: (33)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
53
最初由 litecokie 发布


每次到这里(Shift + F9)
左下角信息栏内都提示:"进程已经终止,退出代码 C0000005 (-1073741819)"
........


呵呵,这个问题已经解决。
原来是操作系统的事
windows xp sp2 的问题
换了2000 PRO SP4 就没有这个问题了
FLY老大的文章正在学习中...........
2005-5-5 17:54
0
雪    币: 203
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
UPX
54
OD某些插件的问题吧
2005-5-5 18:02
0
雪    币: 185
活跃值: (33)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
55
最初由 UPX 发布
OD某些插件的问题吧


能说清楚些吗
不吝赐教

系统是:WINDOWS XP sp2 补丁到最新
OD是  ODbyDYK v1.10 汉化修改版 [2005.04.30]

修改版基于OllyDbg.V1.10 聆风听雨汉化第二版进行修改
2005-5-5 19:30
0
雪    币: 203
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
UPX
56
只是猜测一下,因为有几个插件在SP2下无法正常使用
            
【调试环境】:WinXP、OllyDbg、PEiD、LordPE
不过教程中的调试系统也是XP
2005-5-5 23:45
0
雪    币: 185
活跃值: (33)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
57
FLY斑竹:我试验N次均未成功
潜了多日的水,看了不少的相关文章,才敢出来提问的。不周之处,还望见谅了。我叙述一下脱壳步骤(借用okdodo兄的部分文字):

1. Ctrl+G:GetModuleHandleA  设置内存访问断点
   Shift+F9运行,中断后取消断点。Alt+F9返回
2. 直接F4至0068EC9A,并NOP掉此处代码
3.  Ctrl+G:GetModuleHandleA  设置内存访问断点
   Shift+F9运行,中断后取消断点。Alt+F9返回
   向上查找00690848处,NOP掉此处代码。
4. 接下来NOP掉另外三处(006908B5,0069095D,00690A51)
5. F4运行到00690A73
6. 运行LordPE完全Dump出这个进程,修正dumped.exe的
   Import Table RVA=00181000

7. 修改入口代码及stolencode(看了精华中的相关文章)

   (1)修改入口地址为 0017A49C,载入dumped.exe,修改并保存到dumped.exe代码如下:

  0057A49C    55              push ebp
  0057A49D    8BEC            mov ebp,esp
  0057A49F    83C4 F0         add esp,-10
  0057A4A2    53              push ebx
  0057A4A3    56              push esi
  0057A4A4    B8 0CA05700     mov eax,57A00C
  0057A4A9    E8 46C3E8FF     call 004067F4
  0057A4AE    8B35 18F05700   mov esi,dword ptr ds:[57F018]
  0057A4B4    68 30A55700     push 57A530 ; ASCII "GoodName"
  0057A4B9    6A FF           push -1
  0057A4BB    6A 00           push 0
  0057A4BD    E8 72C5E8FF     call 00406A34

   (2)修改入口地址为 0027C000,载入dumped.exe,修改并保存到dumped.exe代码如下:

  0067C000    60              pushad
  0067C001    36:A1 D0115800  mov eax,dword ptr ss:[5811D0]
  0067C007    36:A3 90926900  mov dword ptr ss:[699290],eax
  0067C00D    A3 10B16800     mov dword ptr ds:[68B110],eax
  0067C012    36:A1 CC115800  mov eax,dword ptr ss:[5811CC]
  0067C018    36:A3 8C926900  mov dword ptr ss:[69928C],eax
  0067C01E    36:A3 0CB16800  mov dword ptr ss:[68B10C],eax
  0067C024    E8 A4290100     call 0068E9CD
  0067C029    E8 3C270100     call 0068E76A  
  0067C02E    E8 F3530100     call 00691426
  0067C033    BF D39C6800     mov edi,689CD3
  0067C038    BE 7C115800     mov esi,58117C
  0067C03D    8B06            mov eax,dword ptr ds:[esi]
  0067C03F    85C0            test eax,eax
  0067C041    74 05           je short 0067C048
  0067C043    8907            mov dword ptr ds:[edi],eax
  0067C045    83C7 04         add edi,4
  0067C048    83C6 04         add esi,4
  0067C04B    81FF D3A06800   cmp edi,68A0D3
  0067C051    75 EA           jnz short 0067C03D
  0067C053    36:A1 D4125800  mov eax,dword ptr ss:[5812D4]
  0067C059    36:A3 14B16800  mov dword ptr ss:[68B114],eax
  0067C05F    36:A3 94926900  mov dword ptr ss:[699294],eax
  0067C065    36:A1 EC115800  mov eax,dword ptr ss:[5811EC]
  0067C06B    36:A3 18B16800  mov dword ptr ss:[68B118],eax
  0067C071    36:A3 98926900  mov dword ptr ss:[699298],eax
  0067C077    36:A1 2C165800  mov eax,dword ptr ss:[58162C]
  0067C07D    36:A3 9C926900  mov dword ptr ss:[69929C],eax
  0067C083    36:C705 2C16580>mov dword ptr ss:[58162C],68B224
  0067C08E    36:C705 639D680>mov dword ptr ss:[689D63],68B224
  0067C099    61              popad
  0067C09A    E9 FDE3EFFF     jmp 0057A49C

进行完上述步骤后运行到0068e9e2处出错,(还没有运行到okdodo大侠的0057A4E1处呢)

XP SP2 错误提示:
AppName: dumped.exe         AppVer: 0.0.0.0         ModName: dumped.exe
ModVer: 0.0.0.0         Offset: 0028e9e2

这个软件对我来说,现在很有用,小孩子就要出生了,想取个好名字,
虚荣一下,哈哈,心理上的安慰吧. :)

本来请了本坛中的大侠算了注册号,怎奈CPU的超线程选项没有关闭,用起来不稳定,再次请求还没有回音,可能我的请求太麻烦了吧.没有空闲的时间.

知道论坛的规矩,不敢有要脱好壳的文件,
就自己摸索着先脱一下壳,可是功力不够,请各位大侠不吝赐教了

尤其是"修改入口代码及stolencode"部分,不知道做的是不是正确。见笑了。
请各位大侠,能尽量说得详细些。
谢谢了

2005-5-19 20:53
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
58
找个地方放一下你脱壳后的文件看看

另外:脱壳!=破解
2005-5-19 22:42
0
雪    币: 185
活跃值: (33)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
59
最初由 fly 发布
脱壳!=破解

明白,脱壳只是万里长征的第一步....

我脱的文件在这里:
http://61.138.176.154/dumped.rar
2005-5-20 10:02
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
60
看了一下,发现两个问题


还有一个地方要修改,自己再找找   
2005-5-20 10:34
0
雪    币: 185
活跃值: (33)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
61
最初由 fly 发布


还有一个地方要修改,自己再找找


找到了就是此处.
0068E76A    C3              retn

谢谢斑竹
2005-5-20 11:47
0
雪    币: 202
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
62
学习中,谢谢
2005-5-20 21:01
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
63
为什么我修改了OLLYDBG的名称  就无法运行了OLLDBG了呢  我用的是1。09的
2005-5-21 10:19
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
64
那就用别人修改后的
2005-5-21 12:06
0
雪    币: 224
活跃值: (147)
能力值: ( LV9,RANK:970 )
在线值:
发帖
回帖
粉丝
65
哎。。。。学习。。。自己有好多好多的~不足
2005-6-5 02:37
0
雪    币: 190
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
66
佩服!这个程序很少人搞得好的。学习
2005-6-25 14:41
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
67
学习,学习!
2005-6-25 18:14
0
雪    币: 61
活跃值: (160)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
68
--------------------------------------------------------------------------------
学习~!
2005-6-26 08:51
0
雪    币: 204
活跃值: (39)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
69
实在不好意思,我顶了老帖子.但确实有很多问题不明白:
我用"ACProtect脱壳――同益起名大师 V3.36"脱掉的-同益起名大师 V3.36有很多功能不能使用,就连"退出"都会出错.不知道是什么原因?
2005-10-12 12:03
0
雪    币: 175
活跃值: (2601)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
70
我按照FLY大侠的作了可是到这里:
三、OEP Stolen Code
Alt+M 打开内存查看窗口,在401000第二区段上设置内存访问断点,Shift+F9运行
我怎么到这:
0068CCE3     FFB5 30FE4000     push dword ptr ss:[ebp+40FE30]
0068CCE9     50                push eax
0068CCEA     8B85 00014100     mov eax,dword ptr ss:[ebp+410100]
0068CCF0     0FB600            movzx eax,byte ptr ds:[eax]
0068CCF3     83E8 33           sub eax,33
0068CCF6     3D 99000000       cmp eax,99
0068CCFB     74 10             je short GoodName.0068CD0D

没有象FLY大侠说的到:
004067F4    53              push ebx
//中断在这里,取消断点
004067F5    8BD8            mov ebx,eax
004067F7    33C0            xor eax,eax
004067F9    A3 9CB05700     mov dword ptr ds:[57B09C],eax
004067FE    6A 00           push 0
00406800    E8 25542800     call 0068BC2A
00406805    A3 68065800     mov dword ptr ds:[580668],eax
0040680A    A1 68065800     mov eax,dword ptr ds:[580668]
0040680F    A3 A8B05700     mov dword ptr ds:[57B0A8],eax
2005-11-20 16:08
0
雪    币: 30
活跃值: (16)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
71
我什么都看不懂。。。。
2005-11-23 12:53
0
雪    币: 207
活跃值: (40)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
72
hehe学无止境
2005-11-23 12:55
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
73
TO xingbing:
可能是时机不当?或版本等有差异
2005-11-23 13:18
0
雪    币: 207
活跃值: (40)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
74
最初由 fly 发布
TO xingbing:
可能是时机不当?或版本等有差异


FLY大侠可以发个0910老王壳加DLL的文章吗?非常想学习谢谢

这个版加了好多自效验非常麻烦希望能学习下,大侠辛苦了
2005-11-23 13:37
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
75
EncryptPE V2.2005一直没啥变化
搞懂exe的脱壳自然就会这个DLL了
2005-11-23 13:57
0
游客
登录 | 注册 方可回帖
返回
//