-
-
[原创]复现大佬ACProtect加密壳脱壳及修复
-
发表于: 2021-3-3 21:39
-
小白的学习,在于模仿+思考,更+勤奋,然后请路人指正
ACProtect是个很老的加密壳,由Delphi编写的,虽然现在已经处于逐步淘汰的状态,但是处于学习的目的,还是决定研究一番。
实验工具:
OLLYICE(分析工具)
importrec(用于IAT修复)
ACP_Feedback2.0.exe (实验对象)
1. 查壳
目标文件存在ACProtect V2.0.X壳
2.两次断点法
两次断点法,并不是一种常用的方法,相比之下,ESP定律,更加普遍,当然这里不能用。这里为什么用两次断点法呢,因为想学习。
两次断点法,又称内存断点,利用内存断点修改对应内存的访问权限,当程序执行的时候,由于内存的访问权限问题而出发异常被调试器捕获进而成功中断在对应的内存区域。
载入程序后,点击m,一般选择rsrc或者idata段下第一次断点。具体入下图:
然后运行,F9.接下来,同样的操作,在data处下断点,F9执行。
发现并没有跳转到OEP处,并且,我们通过刚才的操作,也发现了一些奇怪的现象。
这里冒失少了一点东西,存在stolen code。
对于stolen code的理论,待会我会详细的讲述。
然后用importrec来查看IAT,并没有我们想想的样子,这是加密的原因。
3.后面继续
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
