-
-
Unpacking ACProtect v1.42
-
发表于: 2005-5-2 15:21 4780
-
谀哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪目
? ?Uvod ? ?
滥哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪馁
Pozdrav svima!
Sinoc sam bio previse pijan za pisanje tutorijala, ali evo sad mogu :)
Hehe, dakle ovo je ACProtect / UltraProtect jer ga PEiD prepozna kao
UltraProtect 1.x
Nisam hteo da unpackujem Proffesional verziju jer je KaGra vec napisao tut
za tu verziju.
Ovo je jedan od tezih protektora i dao sam mu 3/10 za tezinu unpacking-a.
Evo par reci i o protektoru:
ACProtect is an application that allows you to protect Windows executable
files against piracy. Using public keys encryption algorithms (RSA) to
create and verify the registration keys and unlock some RSA key locked
code. It has an Embedded Protector against file dumping and unpackers.
It also has many anti-debug tricks with specialized API system. Mutual
communication between loader and application can also be achieved!
Hehe, ima jako dobre opcije.
Test program je pakovan sa SVIM opcijama, znaci maximum protekcija.
谀哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪目
? ?Alati ? ?
滥哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪馁
?OllyDbg v1.10 + OllyDump
?ImpRec v1.6 FiNAL
谀哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪目
? ?Reversing ? ?
滥哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪馁
Ucitavamo pakovani exe u OllyDbg:
00418000 > $ 60 PUSHAD
00418001 . E8 01000000 CALL packed.00418007
00418006 7B DB 7B ; CHAR '{'
00418007 . 83C4 04 ADD ESP, 4
0041800A . 87EE XCHG ESI, EBP
0041800C . FC CLD
0041800D . 85F3 TEST EBX, ESI
Izvrsimo PUSHAD sa F8 ESP registar ce se promeniti. Desni klik na njega pa
Follow in dump.
U dump prozoru selektujte prva 4 bajta pa kliknite desnim tasterom misa na
njih. Izaberite:
Breakpoint -> Hardware, on access -> Dword
Pritisnite Shift+F9 pet puta. Nalazimo se ovde:
0042D88E 56 DB 56 ; CHAR 'V'
0042D88F 8F DB 8F
0042D890 05 DB 05
0042D891 . 25 DB 25 ; CHAR '%'
0042D892 . 88 41 00 60 7>ASCII "?.`~...{"
Sada Ctrl+A i dobijamo ovaj kod:
0042D88D > 61 POPAD
0042D88E ? |56 PUSH ESI
0042D88F ? |8F05 25884100 POP DWORD PTR DS:[418825]
0042D895 . |60 PUSHAD
0042D896 . |7E 03 JLE SHORT packed.0042D89B
0042D898 . |7F 01 JG SHORT packed.0042D89B
Hmz, jos nismo na OEP-u. Pritiskamo Shift+F9 dok ne dobijemo nag
messagebox. Kliknite na Ok.
Ovde smo:
0042F106 /EB 01 JMP SHORT packed.0042F109
0042F108 |E8 FF254BF1 CALL F18E170C
0042F10D 42 INC EDX
0042F10E 0060 E8 ADD BYTE PTR DS:[EAX-18], AH
Izvrsimo JMP sa F8 i bicemo ovde:
0042F109 - FF25 4BF14200 JMP NEAR DWORD PTR DS:[42F14B] ; packed.00401000
0042F10F 60 PUSHAD
0042F110 E8 00000000 CALL packed.0042F115
Izvrsimo JMP sa F8 i bicemo ovde:
00401000 . 6A 00 E8 89 0>ASCII "j.?."
00401005 00 DB 00
00401006 00 DB 00
00401007 A3 DB A3
00401008 B0 DB B0
00401009 52 DB 52 ; CHAR 'R'
Anaziziramo kod i vidimo ovo:
00401000 . 6A 00 PUSH 0
00401002 . E8 89010000 CALL packed.00401190
00401007 . A3 B0524000 MOV DWORD PTR DS:[4052B0], EAX
0040100C . 56 PUSH ESI
0040100D . 6A 0A PUSH 0A
0040100F . 68 F5010000 PUSH 1F5
00401014 . FF35 B0524000 PUSH DWORD PTR DS:[4052B0]
0040101A . E8 65010000 CALL packed.00401184
E to je OEP :)
Dampujemo fajl bez Import Rebuilding opcije.
Sada ide IAT rebuilding ali ja to necu sad objasnjavati vec cu da
prilozim Tree fajl iz ImpRec-a i uputstvo za IAT rebuilding koji je
napisao KaGra, friend iz mog tima.
Otvorite ImpRec i izaberite bilo koji proces. Uzitajte tree fajl i sacuvajte
dump. To je to :)
谀哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪目
? ?Zavrsne reci ? ?
滥哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪馁
ACProtect je odlican protektor, samo sto sam mu jebo kevu :)
Toliko od mene za ovaj tutorial :)
KEEP UP THE GOOD WORK, AND CRACK ON :)
Over and out!
? ?Uvod ? ?
滥哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪馁
Pozdrav svima!
Sinoc sam bio previse pijan za pisanje tutorijala, ali evo sad mogu :)
Hehe, dakle ovo je ACProtect / UltraProtect jer ga PEiD prepozna kao
UltraProtect 1.x
Nisam hteo da unpackujem Proffesional verziju jer je KaGra vec napisao tut
za tu verziju.
Ovo je jedan od tezih protektora i dao sam mu 3/10 za tezinu unpacking-a.
Evo par reci i o protektoru:
ACProtect is an application that allows you to protect Windows executable
files against piracy. Using public keys encryption algorithms (RSA) to
create and verify the registration keys and unlock some RSA key locked
code. It has an Embedded Protector against file dumping and unpackers.
It also has many anti-debug tricks with specialized API system. Mutual
communication between loader and application can also be achieved!
Hehe, ima jako dobre opcije.
Test program je pakovan sa SVIM opcijama, znaci maximum protekcija.
谀哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪目
? ?Alati ? ?
滥哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪馁
?OllyDbg v1.10 + OllyDump
?ImpRec v1.6 FiNAL
谀哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪目
? ?Reversing ? ?
滥哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪馁
Ucitavamo pakovani exe u OllyDbg:
00418000 > $ 60 PUSHAD
00418001 . E8 01000000 CALL packed.00418007
00418006 7B DB 7B ; CHAR '{'
00418007 . 83C4 04 ADD ESP, 4
0041800A . 87EE XCHG ESI, EBP
0041800C . FC CLD
0041800D . 85F3 TEST EBX, ESI
Izvrsimo PUSHAD sa F8 ESP registar ce se promeniti. Desni klik na njega pa
Follow in dump.
U dump prozoru selektujte prva 4 bajta pa kliknite desnim tasterom misa na
njih. Izaberite:
Breakpoint -> Hardware, on access -> Dword
Pritisnite Shift+F9 pet puta. Nalazimo se ovde:
0042D88E 56 DB 56 ; CHAR 'V'
0042D88F 8F DB 8F
0042D890 05 DB 05
0042D891 . 25 DB 25 ; CHAR '%'
0042D892 . 88 41 00 60 7>ASCII "?.`~...{"
Sada Ctrl+A i dobijamo ovaj kod:
0042D88D > 61 POPAD
0042D88E ? |56 PUSH ESI
0042D88F ? |8F05 25884100 POP DWORD PTR DS:[418825]
0042D895 . |60 PUSHAD
0042D896 . |7E 03 JLE SHORT packed.0042D89B
0042D898 . |7F 01 JG SHORT packed.0042D89B
Hmz, jos nismo na OEP-u. Pritiskamo Shift+F9 dok ne dobijemo nag
messagebox. Kliknite na Ok.
Ovde smo:
0042F106 /EB 01 JMP SHORT packed.0042F109
0042F108 |E8 FF254BF1 CALL F18E170C
0042F10D 42 INC EDX
0042F10E 0060 E8 ADD BYTE PTR DS:[EAX-18], AH
Izvrsimo JMP sa F8 i bicemo ovde:
0042F109 - FF25 4BF14200 JMP NEAR DWORD PTR DS:[42F14B] ; packed.00401000
0042F10F 60 PUSHAD
0042F110 E8 00000000 CALL packed.0042F115
Izvrsimo JMP sa F8 i bicemo ovde:
00401000 . 6A 00 E8 89 0>ASCII "j.?."
00401005 00 DB 00
00401006 00 DB 00
00401007 A3 DB A3
00401008 B0 DB B0
00401009 52 DB 52 ; CHAR 'R'
Anaziziramo kod i vidimo ovo:
00401000 . 6A 00 PUSH 0
00401002 . E8 89010000 CALL packed.00401190
00401007 . A3 B0524000 MOV DWORD PTR DS:[4052B0], EAX
0040100C . 56 PUSH ESI
0040100D . 6A 0A PUSH 0A
0040100F . 68 F5010000 PUSH 1F5
00401014 . FF35 B0524000 PUSH DWORD PTR DS:[4052B0]
0040101A . E8 65010000 CALL packed.00401184
E to je OEP :)
Dampujemo fajl bez Import Rebuilding opcije.
Sada ide IAT rebuilding ali ja to necu sad objasnjavati vec cu da
prilozim Tree fajl iz ImpRec-a i uputstvo za IAT rebuilding koji je
napisao KaGra, friend iz mog tima.
Otvorite ImpRec i izaberite bilo koji proces. Uzitajte tree fajl i sacuvajte
dump. To je to :)
谀哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪目
? ?Zavrsne reci ? ?
滥哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪馁
ACProtect je odlican protektor, samo sto sam mu jebo kevu :)
Toliko od mene za ovaj tutorial :)
KEEP UP THE GOOD WORK, AND CRACK ON :)
Over and out!
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
赞赏
他的文章
- [转帖]用多媒体学Visual C++ 2008 系统学习VC 2008必备教程 8056
- [下载]新壳 OSP软件平台功能说明 5871
- [讨论]微点不识英文?! 6353
- [转帖]R3隐藏硬盘分区 8046
- [推荐]内存清零KILL进程 16329
看原图
赞赏
雪币:
留言: