-
-
[原创]VB程序ACProtect2.0全保护
-
发表于: 2008-2-20 11:13
-
【文章标题】: VB程序ACProtect2.0全保护
【文章作者】: yangjt
【作者邮箱】: yangjietao123@163.com
【作者QQ号】: 325002492
【软件名称】: 体重指标获取程序
【软件大小】: 加壳前736 KB
【下载地址】: 同学写的~~从我这里下载就好
【加壳方式】: ACProtect 2.0
【保护方式】: 全保护
【使用工具】: OllyICE,LordPE个人版,ImportREC,CFF Explorer,FixResDemo
【操作平台】: Windows XP SP3
【作者声明】: 只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教!
--------------------------------------------------------------------------------
【详细过程】
软柿子好捏,VB就是个十足的软柿子……嘿嘿……ACProtect2.0的全保护好像没有对程序起什么作用……轻松就被搞掉了,可惜就是不能优化……
还是那天那个程序……废话就不多说了……直接看方法……呵
PEiD扫描过……ACProtect V2.0.X -> RiSco *
可是全保护啊……再怎么难能难到哪里去?
呃……OD载入吧……忽略所有异常……隐藏OD……然后跑起来……点L看记录……
ID 00000E5C 的新进程已创建
00401000 ID 00000274 的主线程已创建
00400000 模块 D:\Admin\桌面\ACProtect.exe
77D10000 模块 C:\WINDOWS\system32\USER32.DLL
77EF0000 模块 C:\WINDOWS\system32\GDI32.dll
7C800000 模块 C:\WINDOWS\system32\kernel32.dll
7C920000 模块 C:\WINDOWS\system32\ntdll.dll
76300000 模块 C:\WINDOWS\system32\IMM32.DLL
77DA0000 模块 C:\WINDOWS\system32\ADVAPI32.dll
77E50000 模块 C:\WINDOWS\system32\RPCRT4.dll
77FC0000 模块 C:\WINDOWS\system32\Secur32.dll
62C20000 模块 C:\WINDOWS\system32\LPK.DLL
00401000 程序入口点
73FA0000 模块 C:\WINDOWS\system32\USP10.dll
73390000 模块 C:\WINDOWS\system32\MSVBVM60.DLL
76990000 模块 C:\WINDOWS\system32\ole32.dll
77BE0000 模块 C:\WINDOWS\system32\msvcrt.dll
770F0000 模块 C:\WINDOWS\system32\OLEAUT32.dll
66630000 模块 C:\WINDOWS\system32\vb6chs.dll
5ADC0000 模块 C:\WINDOWS\system32\uxtheme.dll
10000000 模块 D:\Program Files\360safe\safemon\safemon.dll
7D590000 模块 C:\WINDOWS\system32\SHELL32.dll
77F40000 模块 C:\WINDOWS\system32\SHLWAPI.dll
77180000 模块 C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.3300_x-ww_d7ca0dc2\COMCTL32.dll
74680000 模块 C:\WINDOWS\system32\MSCTF.dll
75E00000 模块 C:\WINDOWS\system32\SXS.DLL
7C92120F C3 retn //这里…… 7C921210 8BFF mov edi, edi 7C921212 > CC int3 7C921213 C3 retn 7C921214 8BFF mov edi, edi 7C921216 8B4424 04 mov eax, dword ptr [esp+4] 7C92121A CC int3 7C92121B C2 0400 retn 4 7C92121E > 64:A1 18000000 mov eax, dword ptr fs:[18] 7C921224 C3 retn 7C921225 > 57 push edi 7C921226 8B7C24 0C mov edi, dword ptr [esp+C] 7C92122A 8B5424 08 mov edx, dword ptr [esp+8] 7C92122E C702 00000000 mov dword ptr [edx], 0 7C921234 897A 04 mov dword ptr [edx+4], edi
7C92E4F4 > C3 retn //返回到这里了…… 7C92E4F5 8DA424 00000000 lea esp, dword ptr [esp] 7C92E4FC 8D6424 00 lea esp, dword ptr [esp] 7C92E500 > 8D5424 08 lea edx, dword ptr [esp+8] 7C92E504 CD 2E int 2E 7C92E506 C3 retn 7C92E507 90 nop 7C92E508 > 55 push ebp 7C92E509 8BEC mov ebp, esp 7C92E50B 9C pushfd
0012FE7C 77D19418 返回到 USER32.77D19418 0012FE80 733AD756 返回到 MSVBVM60.733AD756 来自 USER32.WaitMessage 0012FE84 FFFFFFFF 0012FE88 00E3373C 0012FE8C 00000000 0012FE90 003D091C ASCII "######$$$$$$$$$'$$$$$$$'$'$$$'$$$$'$'$#$#$#$&'#$#$#$#$#$30000" 0012FE94 00000113 0012FE98 00000001 0012FE9C 00000000 0012FEA0 009C917B 0012FEA4 00000180 0012FEA8 0000008C 0012FEAC 00E30000 0012FEB0 00000000 0012FEB4 00E31E94 0012FEB8 /0012FEFC 0012FEBC |7339A627 返回到 MSVBVM60.7339A627 来自 MSVBVM60.7339A632 0012FEC0 |FFFFFFFF 0012FEC4 |00E33764 0012FEC8 |00E30000 0012FECC |00E3375C 0012FED0 |7339A5C9 返回到 MSVBVM60.7339A5C9 0012FED4 |00E3373C 0012FED8 |FFFFFFFF 0012FEDC |00E33834 0012FEE0 |00E3375C 0012FEE4 |FFFFFFFF 0012FEE8 |00E33834 0012FEEC |FFFFFFFF 0012FEF0 |00000FCC 0012FEF4 |00000001 0012FEF8 |00000000 0012FEFC \733AA3B8 MSVBVM60.733AA3B8 0012FF00 7339A505 返回到 MSVBVM60.7339A505 来自 MSVBVM60.7339A51B 0012FF04 00E33834 0012FF08 FFFFFFFF 0012FF0C 00000FCC 0012FF10 FFFFFFFF 0012FF14 FFFFFFFF 0012FF18 00E337FC 0012FF1C 7339A4D0 返回到 MSVBVM60.7339A4D0 0012FF20 00E33760 0012FF24 00E33834 0012FF28 FFFFFFFF 0012FF2C 00000FCC 0012FF30 00198328 0012FF34 7349E470 MSVBVM60.7349E470 0012FF38 0012FFB8 0012FF3C 7FFDE000 0012FF40 73393644 返回到 MSVBVM60.73393644 来自 MSVBVM60.7339A4AA 0012FF44 FFFFFFFF 0012FF48 00198328 0012FF4C 00197BC0 0012FF50 7FFDE000 0012FF54 00E31FA4 0012FF58 00000044 0012FF5C 0015C368 0012FF60 0015C558 ASCII "WinSta0\Default" 0012FF64 0015C570 0012FF68 00000000 0012FF6C 00000000 0012FF70 00000000 0012FF74 00000000 0012FF78 00000000 0012FF7C 00000000 0012FF80 00000000 0012FF84 00000401 0012FF88 00000001 0012FF8C 00000000 0012FF90 00000000 0012FF94 00010001 0012FF98 00000000 0012FF9C 00000000 0012FFA0 0012FF48 0012FFA4 0012FFB0 0012FFA8 0012FFE0 指向下一个 SEH 记录的指针 0012FFAC 7347BAFD SE处理程序 0012FFB0 733A97D0 MSVBVM60.733A97D0 0012FFB4 00000000 0012FFB8 0012FFF0 0012FFBC 004CEBF8 ACProtec.004CEBF8 ///眼睛注意这里了哈…… 0012FFC0 0045A0BC ACProtec.0045A0BC ///ACProtect2.0的VB程序可要注意两个地方哦…… 0012FFC4 7C817067 返回到 kernel32.7C817067 0012FFC8 00198328 0012FFCC 00197BC0 0012FFD0 7FFDE000 0012FFD4 8054C6ED 0012FFD8 0012FFC8 0012FFDC 852A1640 0012FFE0 FFFFFFFF SEH 链尾部 0012FFE4 7C839AC0 SE处理程序 0012FFE8 7C817070 kernel32.7C817070 0012FFEC 00000000 0012FFF0 00000000 0012FFF4 00000000 0012FFF8 00401000 ACProtec.<模块入口点> 0012FFFC 00000000
0012FFBC 004CEBF8 ACProtec.004CEBF8 ///眼睛注意这里了哈…… 0012FFC0 0045A0BC ACProtec.0045A0BC ///ACProtect2.0的VB程序可要注意两个地方哦……
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
后天就开学咯……不能在这里和大家一起学习咯……我毕竟还是个初中生嘛……学习为主……嘿嘿!!!!!!!!!!!!!!
强悍啊,我初中的时候还没摸过电脑! 
|
|
|
又一个马路杀手即将诞生!
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
forgot 小霸王版。
|
|
|
顶一下洋葱
|
|
|
|
