使用OllyDbg从零开始Cracking 第四十二章-ACProtect V1.09脱壳(寻找OEP,绕过硬件断点的检测,修复Stolen code)-外文翻译-看雪-安全社区|安全招聘|kanxue.com

使用OllyDbg从零开始Cracking 第四十二章-ACProtect V1.09脱壳(寻找OEP,绕过硬件断点的检测,修复Stolen code)

发表于: 2014-10-18 22:46 19521

使用OllyDbg从零开始Cracking 第四十二章-ACProtect V1.09脱壳(寻找OEP,绕过硬件断点的检测,修复Stolen code)

安于此生

2014-10-18 22:46

19521

前面已翻译章节列表:

[COLOR="Red"][FONT="Arial Black"][SIZE="6"]使用OllyDbg从零开始Cracking[/SIZE][/FONT][/COLOR]

Trace之前记住删除内存断点,不会记录到文件的可以后面跟帖提问... 这部分作者没有详细说明...

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

使用OllyDbg从零开始Cracking 第四十二章-ACProtect V1.09脱壳(寻找OEP,绕过硬件（1.32MB，605次下载）
Patched_4_OD.zip （614.37kb，357次下载）
hideod.7z （16.27kb，298次下载）
HBP.txt （0.47kb，293次下载）
UnPackMe_ACProtect1.09g.f.7z （317.93kb，252次下载）

收藏・4

免费・3

支持

最新回复 (17)
yingyue 雪币： 1844 活跃值： (35) 能力值： ( LV3，RANK：30 ) 在线值：发帖 16 回帖 2595 粉丝 3 关注私信	yingyue 2 楼我还等你的 pdf 呢，呵呵 2014-10-18 23:36 0
蚯蚓降龙雪币： 4928 活跃值： (967) 能力值： ( LV9，RANK：175 ) 在线值：发帖 3 回帖 248 粉丝 3 关注私信	蚯蚓降龙 3 楼更新了,赞,随便说下,辛苦了!! 2014-10-19 00:11 0
killbr 雪币： 16159 活跃值： (1340) 能力值： ( LV2，RANK：10 ) 在线值：发帖 254 回帖 1688 粉丝 4 关注私信	killbr 4 楼 Trace之前记住删除内存断点,不会记录到文件的可以后面跟帖提问... 这部分作者没有详细说明... 俺的亲娘啊，昨天还看了一整天您的大作呢梦里还想到哥哥你呢？要是个妹子的话，一定要拐回家~~ 大好人呀~~~ 2014-10-19 08:24 0
安于此生雪币： 2664 活跃值： (3401) 能力值： ( LV13，RANK：1760 ) 在线值：发帖 103 回帖 2020 粉丝 192 关注私信	安于此生 34 5 楼 ... 2014-10-19 11:24 0
安于此生雪币： 2664 活跃值： (3401) 能力值： ( LV13，RANK：1760 ) 在线值：发帖 103 回帖 2020 粉丝 192 关注私信	安于此生 34 6 楼 2014-10-19 11:25 0
人在塔在雪币： 144 活跃值： (335) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 391 粉丝 3 关注私信	人在塔在 7 楼是个男的我也要 2014-10-19 11:27 0
hbcld 雪币： 43 活跃值： (35) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 238 粉丝 0 关注私信	hbcld 8 楼赞，终于等到更新了！谢谢 2014-10-19 13:02 0
孤小鱼雪币： 299 活跃值： (55) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 39 粉丝 0 关注私信	孤小鱼 9 楼这个男的我也要 2014-10-19 21:38 0
鬼舞炼狱雪币： 29 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 99 粉丝 0 关注私信	鬼舞炼狱 10 楼没有文中的那个EXE程序啊 2014-10-30 14:29 0
安于此生雪币： 2664 活跃值： (3401) 能力值： ( LV13，RANK：1760 ) 在线值：发帖 103 回帖 2020 粉丝 192 关注私信	安于此生 34 11 楼上传了,见附件UnPackMe_ACProtect1.09 2014-10-30 14:31 0
鬼舞炼狱雪币： 29 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 99 粉丝 0 关注私信	鬼舞炼狱 12 楼老大上次问你的问题我知道怎么回事了，loadpe在重建的时候把最后一个节的文件尺寸搞的非常大~ 不重建能直接打开了，但是重建后就失败了 2014-11-1 17:07 0
bibaocheng 雪币： 6 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	bibaocheng 13 楼好东西，收藏啦 2014-11-3 09:18 0
jishou 雪币： 46 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 36 粉丝 0 关注私信	jishou 14 楼非常感谢楼主的分享 2014-12-8 09:54 0
xingbing 雪币： 175 活跃值： (2331) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 1133 粉丝 2 关注私信	xingbing 15 楼感谢楼主的分享 2015-1-4 12:41 0
常指针雪币： 52 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 18 粉丝 0 关注私信	常指针 16 楼一个疑问，为什么伟wiin7下kiuserExceptiondispatcher与教程中的不一样？ 2015-1-5 20:08 0
安于此生雪币： 2664 活跃值： (3401) 能力值： ( LV13，RANK：1760 ) 在线值：发帖 103 回帖 2020 粉丝 192 关注私信	安于此生 34 17 楼 win7 我并没有做测试,我实验环境都是XP... 以后有机会再介绍win7吧,建议你也在XP下做实验吧,win7的问题等我以后测试过了我们再来讨论 2015-1-5 20:13 0
残雪孤侠雪币： 160 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 48 粉丝 0 关注私信	残雪孤侠 18 楼 2个梗 1、写好脚本后，记得先断点，bp KiUserExceptionDispatcher，bp zwContinue然后运行脚本 2、最后一步搜索汇编指令时，记得点复制(copy)->选择全部(select all)->复制到文件(copy to file) 附上win7 x64上可以用的脚本 var RetAddr Beginning: bphws 4271b5,"x" Work: eob ToProcess run ToProcess: log eip cmp eip,77430124 je ToClear cmp eip,7743013C je ToRecover cmp eip,RetAddr je ToReset jmp Final ToClear: bphwc 4271b5 jmp Work ToRecover: mov RetAddr,esp mov RetAddr,[RetAddr] add RetAddr,0b8 mov RetAddr,[RetAddr] log RetAddr bp RetAddr jmp Beginning ToReset: bc RetAddr jmp Beginning Final: MSGYN "Continue?" cmp $RESULT,1 je Beginning ret 其他版本上根据KiUserExceptionDispatcher在内存中的地址，修改 cmp eip,77430124 77430124的值根据bp zwContinue在内存中的地址，修改 cmp eip,7743013C 7743013C的值 2015-7-4 15:27 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

安于此生

103

发帖

2020

回帖

1760

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (17)
yingyue 雪币： 1844 活跃值： (35) 能力值： ( LV3，RANK：30 ) 在线值：发帖 16 回帖 2595 粉丝 3 关注私信	yingyue 2 楼我还等你的 pdf 呢，呵呵 2014-10-18 23:36 0
蚯蚓降龙雪币： 4928 活跃值： (967) 能力值： ( LV9，RANK：175 ) 在线值：发帖 3 回帖 248 粉丝 3 关注私信	蚯蚓降龙 3 楼更新了,赞,随便说下,辛苦了!! 2014-10-19 00:11 0
killbr 雪币： 16159 活跃值： (1340) 能力值： ( LV2，RANK：10 ) 在线值：发帖 254 回帖 1688 粉丝 4 关注私信	killbr 4 楼 Trace之前记住删除内存断点,不会记录到文件的可以后面跟帖提问... 这部分作者没有详细说明... 俺的亲娘啊，昨天还看了一整天您的大作呢梦里还想到哥哥你呢？要是个妹子的话，一定要拐回家~~ 大好人呀~~~ 2014-10-19 08:24 0
安于此生雪币： 2664 活跃值： (3401) 能力值： ( LV13，RANK：1760 ) 在线值：发帖 103 回帖 2020 粉丝 192 关注私信	安于此生 34 5 楼 ... 2014-10-19 11:24 0
安于此生雪币： 2664 活跃值： (3401) 能力值： ( LV13，RANK：1760 ) 在线值：发帖 103 回帖 2020 粉丝 192 关注私信	安于此生 34 6 楼 2014-10-19 11:25 0
人在塔在雪币： 144 活跃值： (335) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 391 粉丝 3 关注私信	人在塔在 7 楼是个男的我也要 2014-10-19 11:27 0
hbcld 雪币： 43 活跃值： (35) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 238 粉丝 0 关注私信	hbcld 8 楼赞，终于等到更新了！谢谢 2014-10-19 13:02 0
孤小鱼雪币： 299 活跃值： (55) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 39 粉丝 0 关注私信	孤小鱼 9 楼这个男的我也要 2014-10-19 21:38 0
鬼舞炼狱雪币： 29 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 99 粉丝 0 关注私信	鬼舞炼狱 10 楼没有文中的那个EXE程序啊 2014-10-30 14:29 0
安于此生雪币： 2664 活跃值： (3401) 能力值： ( LV13，RANK：1760 ) 在线值：发帖 103 回帖 2020 粉丝 192 关注私信	安于此生 34 11 楼上传了,见附件UnPackMe_ACProtect1.09 2014-10-30 14:31 0
鬼舞炼狱雪币： 29 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 99 粉丝 0 关注私信	鬼舞炼狱 12 楼老大上次问你的问题我知道怎么回事了，loadpe在重建的时候把最后一个节的文件尺寸搞的非常大~ 不重建能直接打开了，但是重建后就失败了 2014-11-1 17:07 0
bibaocheng 雪币： 6 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	bibaocheng 13 楼好东西，收藏啦 2014-11-3 09:18 0
jishou 雪币： 46 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 36 粉丝 0 关注私信	jishou 14 楼非常感谢楼主的分享 2014-12-8 09:54 0
xingbing 雪币： 175 活跃值： (2331) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 1133 粉丝 2 关注私信	xingbing 15 楼感谢楼主的分享 2015-1-4 12:41 0
常指针雪币： 52 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 18 粉丝 0 关注私信	常指针 16 楼一个疑问，为什么伟wiin7下kiuserExceptiondispatcher与教程中的不一样？ 2015-1-5 20:08 0
安于此生雪币： 2664 活跃值： (3401) 能力值： ( LV13，RANK：1760 ) 在线值：发帖 103 回帖 2020 粉丝 192 关注私信	安于此生 34 17 楼 win7 我并没有做测试,我实验环境都是XP... 以后有机会再介绍win7吧,建议你也在XP下做实验吧,win7的问题等我以后测试过了我们再来讨论 2015-1-5 20:13 0
残雪孤侠雪币： 160 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 48 粉丝 0 关注私信	残雪孤侠 18 楼 2个梗 1、写好脚本后，记得先断点，bp KiUserExceptionDispatcher，bp zwContinue然后运行脚本 2、最后一步搜索汇编指令时，记得点复制(copy)->选择全部(select all)->复制到文件(copy to file) 附上win7 x64上可以用的脚本 var RetAddr Beginning: bphws 4271b5,"x" Work: eob ToProcess run ToProcess: log eip cmp eip,77430124 je ToClear cmp eip,7743013C je ToRecover cmp eip,RetAddr je ToReset jmp Final ToClear: bphwc 4271b5 jmp Work ToRecover: mov RetAddr,esp mov RetAddr,[RetAddr] add RetAddr,0b8 mov RetAddr,[RetAddr] log RetAddr bp RetAddr jmp Beginning ToReset: bc RetAddr jmp Beginning Final: MSGYN "Continue?" cmp $RESULT,1 je Beginning ret 其他版本上根据KiUserExceptionDispatcher在内存中的地址，修改 cmp eip,77430124 77430124的值根据bp zwContinue在内存中的地址，修改 cmp eip,7743013C 7743013C的值 2015-7-4 15:27 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复