首页
社区
课程
招聘
Unpacking ACProtect v1.42
发表于: 2005-5-2 15:21 4780

Unpacking ACProtect v1.42

2005-5-2 15:21
4780
谀哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪目
?                                ?Uvod ?                                  ?
滥哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪馁

  Pozdrav svima!

  Sinoc sam bio previse pijan za pisanje tutorijala, ali evo sad mogu :)

  Hehe, dakle ovo je ACProtect / UltraProtect jer ga PEiD prepozna kao
  UltraProtect 1.x

  Nisam hteo da unpackujem Proffesional verziju jer je KaGra vec napisao tut
  za tu verziju.

  Ovo je jedan od tezih protektora i dao sam mu 3/10 za tezinu unpacking-a.

  Evo par reci i o protektoru:

  ACProtect is an application that allows you to protect Windows executable
  files against piracy. Using public keys encryption algorithms (RSA) to
  create and verify the registration keys and unlock some RSA key locked
  code. It has an Embedded Protector against file dumping and unpackers.
  It also has many anti-debug tricks with specialized API system. Mutual
  communication between loader and application can also be achieved!

  Hehe, ima jako dobre opcije.

  Test program je pakovan sa SVIM opcijama, znaci maximum protekcija.

谀哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪目
?                                ?Alati ?                                 ?
滥哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪馁

?OllyDbg v1.10 + OllyDump
?ImpRec v1.6 FiNAL

谀哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪目
?                              ?Reversing ?                               ?
滥哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪馁

  Ucitavamo pakovani exe u OllyDbg:

  00418000 > $  60            PUSHAD
  00418001   .  E8 01000000   CALL    packed.00418007
  00418006      7B            DB      7B                               ;  CHAR '{'
  00418007   .  83C4 04       ADD     ESP, 4
  0041800A   .  87EE          XCHG    ESI, EBP
  0041800C   .  FC            CLD
  0041800D   .  85F3          TEST    EBX, ESI

  Izvrsimo PUSHAD sa F8 ESP registar ce se promeniti. Desni klik na njega pa
  Follow in dump.

  U dump prozoru selektujte prva 4 bajta pa kliknite desnim tasterom misa na
  njih. Izaberite:

  Breakpoint -> Hardware, on access -> Dword

  Pritisnite Shift+F9 pet puta. Nalazimo se ovde:

  0042D88E      56            DB      56                               ;  CHAR 'V'
  0042D88F      8F            DB      8F
  0042D890      05            DB      05
  0042D891   .  25            DB      25                               ;  CHAR '%'
  0042D892   .  88 41 00 60 7>ASCII   "?.`~...{"

  Sada Ctrl+A i dobijamo ovaj kod:

  0042D88D   >  61            POPAD
  0042D88E   ? |56            PUSH    ESI
  0042D88F   ? |8F05 25884100 POP     DWORD PTR DS:[418825]
  0042D895   . |60            PUSHAD
  0042D896   . |7E 03         JLE     SHORT packed.0042D89B
  0042D898   . |7F 01         JG      SHORT packed.0042D89B

  Hmz, jos nismo na OEP-u. Pritiskamo Shift+F9 dok ne dobijemo nag
  messagebox. Kliknite na Ok.

  Ovde smo:

  0042F106   /EB 01           JMP     SHORT packed.0042F109
  0042F108   |E8 FF254BF1     CALL    F18E170C
  0042F10D    42              INC     EDX
  0042F10E    0060 E8         ADD     BYTE PTR DS:[EAX-18], AH

  Izvrsimo JMP sa F8 i bicemo ovde:

  0042F109  - FF25 4BF14200   JMP     NEAR DWORD PTR DS:[42F14B]       ; packed.00401000
  0042F10F    60              PUSHAD
  0042F110    E8 00000000     CALL    packed.0042F115

  Izvrsimo JMP sa F8 i bicemo ovde:

  00401000   .  6A 00 E8 89 0>ASCII   "j.?."
  00401005      00            DB      00
  00401006      00            DB      00
  00401007      A3            DB      A3
  00401008      B0            DB      B0
  00401009      52            DB      52                               ;  CHAR 'R'

  Anaziziramo kod i vidimo ovo:

  00401000   .  6A 00         PUSH    0
  00401002   .  E8 89010000   CALL    packed.00401190
  00401007   .  A3 B0524000   MOV     DWORD PTR DS:[4052B0], EAX
  0040100C   .  56            PUSH    ESI
  0040100D   .  6A 0A         PUSH    0A
  0040100F   .  68 F5010000   PUSH    1F5
  00401014   .  FF35 B0524000 PUSH    DWORD PTR DS:[4052B0]
  0040101A   .  E8 65010000   CALL    packed.00401184

  E to je OEP :)

  Dampujemo fajl bez Import Rebuilding opcije.

  Sada ide IAT rebuilding ali ja to necu sad objasnjavati vec cu da
  prilozim Tree fajl iz ImpRec-a i uputstvo za IAT rebuilding koji je
  napisao KaGra, friend iz mog tima.

  Otvorite ImpRec i izaberite bilo koji proces. Uzitajte tree fajl i sacuvajte
  dump. To je to :)

谀哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪目
?                             ?Zavrsne reci ?                             ?
滥哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪馁

  ACProtect je odlican protektor, samo sto sam mu jebo kevu :)

  Toliko od mene za ovaj tutorial :)

  KEEP UP THE GOOD WORK, AND CRACK ON :)

  Over and out!

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回
//