-
-
[原创]ACProtect1.xx脱壳笔记
-
发表于: 2024-2-21 20:11
-
本帖是关于ACProtect1.xx的脱壳过程。在学习的过程中做了些笔记,如果笔记中有错误或者有遗漏的步骤,还是有更好的脱壳方法,欢迎大家在评论区指出!
先查壳
2. 忽略下异常
3. Shift+F9运行起来来到最后一次异常
4. 单击SE句柄右键在数据窗口中跟随
下内存访问断点
5. 再次shift+F9来到这里并下断点
再次shift+F9来到这里
把所有断点删除掉并在黄色这段代码清除内存断点,来到retn这里F4断在这里
6. 来到内存这里,下断点。Shift+F9到达OEP
OEP
7. 用LordPE修正映像大小并转存
8. 从这里回车进去手动计算出RVA和SIZE
RVA的56E0F4要改成16E0F4并要收缩4个字节变成16E0F0
Size:这个地址56EE7C去数据窗口中搜索,56EE7C要改成16EE7C.放出4个字节变成16EE80.
Size:16EE80 - 16E0F0=D90
9. 用ImpREC修复IAT
用ACProtect修复插件进行修复,修复完之后还有很多无效
找到这里,在MessageBeep下面这个无效函数
手动修复上去
其它无效的函数就直接剪切掉
并转存文件
程序即可运行
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
