首页
社区
课程
招聘
[旧帖] [原创]手脱ACProtect 1.32 0.00雪花
发表于: 2009-8-27 13:55 3051

[旧帖] [原创]手脱ACProtect 1.32 0.00雪花

2009-8-27 13:55
3051

脱壳目标:加了壳的Win98记事本

PEiD查壳:UltraProtect 1.x -> RISCO Software Inc.

存在Stolen Code

OD设置:Debugging Options Exceptions,Exceptions去掉Memory access violation的勾

SOD设置(如需要):去掉Skip Some Exceptions的勾

OD载入

0040D000 >  60              pushad                                   ; 中断在此
0040D001    F9              stc
0040D002    87D6            xchg esi,edx
0040D004    72 03           jb short notepad9.0040D009
0040D006    73 01           jnb short notepad9.0040D009
0040D008    7A 81           jpe short notepad9.0040CF8B
00415719    CD 01           int 1                                    ; 中断在此
0041571B    40              inc eax
0041571C    40              inc eax
0041571D    0BC0            or eax,eax
0041571F    75 05           jnz short notepad9.00415726
0012FF20   0012FFC4  Pointer to next SEH record
0012FF24   004156FD  SE handler           ; 在反汇编窗口跟随
004156FD    8B5C24 0C       mov ebx,dword ptr ss:[esp+C]             ; 下断,Memory,on access,Shift+F9三次
00415701    8383 B8000000 0>add dword ptr ds:[ebx+B8],2
00415708    33C0            xor eax,eax
0041570A    C3              retn
0041570B    64:67:FF36 0000 push dword ptr fs:[0]
00415711    64:67:8926 0000 mov dword ptr fs:[0],esp
00415717    33C0            xor eax,eax
00415761    89048E          mov dword ptr ds:[esi+ecx*4],eax         ; 中断在此!删除内存断点
00415764    49              dec ecx
00415765  ^ EB E1           jmp short notepad9.00415748
00415767    61              popad
00415768    61              popad
00415769    C3              retn                                     ; 定位到此,F4

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

上传的附件:
收藏
免费 7
支持
分享
最新回复 (4)
雪    币: 41
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
第一步
是把选项->调试设置->异常->非法访问内存的勾去掉
对吧?
第3步咋搞的?
我运行3次程序在某处退出了....
00406684   .  296E 88        SUB DWORD PTR DS:[ESI-78],EBP
00406687   .  48             DEC EAX
00406688   .  68 6A89AC2C    PUSH 2CAC896A
0040668D   .  8C48 2F        MOV WORD PTR DS:[EAX+2F],CS<---这异常然后退出
怎么按都没用

再进去(重新开始)就这样了
上传的附件:
2009-8-27 16:14
0
雪    币: 112
活跃值: (10)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
3
[QUOTE=redsxz;677343]第一步
是把选项->调试设置->异常->非法访问内存的勾去掉
对吧?
第3步咋搞的?
我运行3次程序在某处退出了....
00406684   .  296E 88        SUB DWORD PTR DS:[ESI-78],EBP
00406687   .  48             D...[/QUOTE]

不知道为什么这样,我的OD异常设置是这样的,


你试试删掉udd目录下的文件,然后再试试。或下载附件里的重新试试

还有,这个壳检测OD的,我的工具就是原版OD+SOD这个插件
上传的附件:
2009-8-27 16:39
0
雪    币: 81
活跃值: (22)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
楼主,你好,请问一下
7、重复以上步骤到步骤4,Ctrl+T,勾上最后那栏的,填上push ebp,Ctrl+F11,跟随之
为什么填上的是push ebp呢?也就是说你怎么知道这个程序的入口是push ebp,当然你知道这个程序是什么语言写的时候,就知道了入口特征,如果在不知道这个程序是什么语言的时候应该怎么办呢?
2009-12-18 10:56
0
雪    币: 199
活跃值: (65)
能力值: ( LV5,RANK:70 )
在线值:
发帖
回帖
粉丝
5
楼上请看
https://bbs.pediy.com/showthread.php?t=95679&highlight=stolen+code
这篇文章,这里有很好的解释!
2010-7-28 20:45
0
游客
登录 | 注册 方可回帖
返回
//