1.载入PEID

ACProtect v1.35 -> risco software Inc. & Anticrack Soft

2.载入OD,需要注意的是,异常选项除了[内存访问异常]外其他全部勾选上,然后shift+F9运行至最后一次异常,是1次之后。第二次程序就跑飞了

 >                pushad                            ; //入口

    7C            jl short QQ个性签.

    7D            jge short QQ个性签.

     0B           jno short QQ个性签.

    C2 66C1         retn 0xC166

0043600A    D29E FC4566D3   rcr byte ptr ds:[esi-0x2C99BA04],>

    D27403        sal byte ptr ds:[ebx+eax+0x75],cl

              add dword ptr ds:[edi+0x66],esi
 

3.落脚点,落脚后右键点堆栈窗口SE句柄—数据窗口跟随—数据窗口第一行下内存访问断点然后shift+F9

00447B1F    CD            int 0x1                           ; //落脚点

00447B21                  inc eax

00447B22                  inc eax

00447B23    0BC0            or eax,eax

00447B25                jnz short QQ个性签.00447B2C

00447B27                  nop

00447B28                  nop

0012FF44   00447B03  SE处理程序     //堆栈窗口

00447B03  0C245C8B                  //数据窗口第一行

4.落脚点,在落脚点下F2断点,然后shift+F9

00447B03    8B5C24 0C       mov ebx,dword ptr ss:[esp+0xC]    ; //落脚点

00447B07     B8000000 >add dword ptr ds:[ebx+0xB8],0x2

00447B0E    33C0            xor eax,eax

00447B10    C3              retn

00447B11    ::FF36  push dword ptr fs:[]

00447B17    ::  mov dword ptr fs:[],esp
 

5.落脚点,继续在这里下F2断点,然后shift+F9运行

00447B53    8B048E          mov eax,dword ptr ds:[esi+ecx*]  ; //落脚点

00447B56    8B5C8E        mov ebx,dword ptr ds:[esi+ecx*+>

00447B5A    2BC3            sub eax,ebx

00447B5C    C1C0          rol eax,0x7

00447B5F    33C2            xor eax,edx

00447B61    81C2 4B3DF129   add edx,0x29F13D4B
 

6.落脚点,先清除刚刚下的2个F2断点和1个内存访问断点,然后在最近的retn处F4

00447B67    89048E          mov dword ptr ds:[esi+ecx*],eax    ; //落脚点

00447B6A                  dec ecx

00447B6B  ^ EB E1           jmp short QQ个性签.00447B4E

00447B6D                  popad

00447B6E                  popad

00447B6F    C3              retn                                ; //F4

00447B70                add byte ptr ds:[eax],al
 

7.接下来到显示内存窗口,在00401000处下F2断点然后shift+F9运行,这个时候加壳程序就跑起来了,弹出那个ACProtect的提示窗,不用管,直接点确定

Memory map, 条目

 地址=

 大小=0002B000 (.)

 属主=QQ个性签

 区段=.text

 包含=代码

 类型=Imag

 访问=R

 初始访问=RWE
 

8.直接来到OEP,可以脱壳了,使用LoadPE+ImportREC脱壳即可

004012D4          push QQ个性签.               ; //OEP

004012D9    E8 F0FFFFFF     call QQ个性签.004012CE               ; jmp 到 msvbvm60.ThunRTMain

004012DE                add byte ptr ds:[eax],al

004012E0                add byte ptr ds:[eax],al

004012E2                add byte ptr ds:[eax],al

004012E4                xor byte ptr ds:[eax],al

004012E6                add byte ptr ds:[eax],al

004012E8                  dec eax                           ; kernel32.BaseThreadInitThunk

004012E9                add byte ptr ds:[eax],al

9.运行查壳

运行OK,查壳:Microsoft Visual Basic v5.0/v6.0

手脱ACProtect v1.35(无Stolen Code)的更多相关文章

  1. 手脱ACProtect v1.35(无Stolen Code)之二

    首先,想说明的是这个壳在我的PC上是可以用上一个帖子中的方法来到假的OEP的:http://www.52pojie.cn/forum.php?mod=viewthread&tid=433462 ...

  2. 手脱ACProtect v1.35(有Stolen Code)

    1.载入PEID ACProtect v1.35 -> risco software Inc. & Anticrack Soft 2.载入OD,需要注意的是,异常选项除了[内存访问异常] ...

  3. 手脱ACProtect V1.4X(有Stolen Code)之补区段

    首先需要说的是,这个壳是ximo大神视频教程里的 0041F000 > pushad ; //程序入口点 0041F001 E8 call NgaMy.0041F007 0041F006 E8 ...

  4. 手脱ACProtect V1.4X(有Stolen Code)

    1.载入PEID ACProtect V1.4X -> risco 首先需要说明的是,这个壳被偷取的代码非常多,如果去找的话会比较麻烦,所以我们换一种另类的方法,不脱壳也可以使用资源修改器对程序 ...

  5. 手脱ACProtect V2.0(无Stolen Code)

    1.载入PEID ACProtect V2.0 -> risco 2.载入OD > 00A04000 push ACP_Feed.0040A000 ; //入口点 0B104000 pus ...

  6. 手脱ASProtect v1.2(无Stolen Code)

    1.载入PEID ASProtect v1.2 2.载入OD > 01C04200 push 跑跑赛道.0042C001 ; //入口处 C3 retn AA stos byte ptr es: ...

  7. 手脱ASProtect v1.23 RC1(无Stolen Code)

    1.载入PEID ASProtect v1.23 RC1 2.载入OD,不勾选内存访问异常,其他异常全部勾选 > 01C04200 push 跑跑排行.0042C001 ; //入口处 E8 c ...

  8. 手脱ASProtect v1.23 RC1(有Stolen Code)之以壳解壳

    1.载入PEID ASProtect v1.23 RC1 2.载入OD,不勾选内存访问异常,其他异常全部勾选 > 01C06D00 push SoWorker.006DC001 ; //入口点 ...

  9. 手脱ASProtect v1.23 RC1(有Stolen Code)

    1.载入PEID ASProtect v1.23 RC1 常见ASprotect版本壳: ASProtect 1.23 RC4 按shift+f9键26次后来到典型异常 ASProtect 1.31 ...

随机推荐

  1. gevent协程、select IO多路复用、socketserver模块 改造多用户FTP程序例子

    原多线程版FTP程序:http://www.cnblogs.com/linzetong/p/8290378.html 只需要在原来的代码基础上稍作修改: 一.gevent协程版本 1. 导入geven ...

  2. $_SERVER的详细参数整理下

    PHP编程中经常需要用到一些服务器的一些资料,特把$_SERVER的详细参数整理下,方便以后使用. $_SERVER['PHP_SELF'] #当前正在执行 脚本的文件名,与 document roo ...

  3. php中注释有关内容

    //单行注释 /*多行注释*/ /** 文档注释 (注意 文档注释与前面的那个多行注释不同)文档注释可以和特定的程序元素相关联 例如 类 函数 常量 变量方法 问了将文档注释与元素相关联 只需要在元素 ...

  4. 《我是一只it小小鸟》观后感

    在这个学期开始的时候我们的老师推荐给我们这本书.在很多的网站上只要一提到IT,总会有人推荐这本书,我在读这本书之前看了很多关于它的书评,其中有一位网友的一句话让我对它产生了很大的兴趣:“印象最深的是书 ...

  5. lintcode-129-重哈希

    129-重哈希 哈希表容量的大小在一开始是不确定的.如果哈希表存储的元素太多(如超过容量的十分之一),我们应该将哈希表容量扩大一倍,并将所有的哈希值重新安排.假设你有如下一哈希表: size=3, c ...

  6. lintcode-436-最大正方形

    436-最大正方形 在一个二维01矩阵中找到全为1的最大正方形 样例 1 0 1 0 0 1 0 1 1 1 1 1 1 1 1 1 0 0 1 0 返回 4 标签 动态规划 爱彼迎 脸书 思路 使用 ...

  7. 在原有的基础之上,启用NAT模型

    # 给虚拟主机实例添加一个网关 route add default gw 192.168.23.1   # 在宿主机打开网卡间转发功能 echo 1 > /proc/sys/net/ipv4/i ...

  8. mysql的程序组成

    MySQL的程序组成 1:客户端 mysql:客户端程序 mysqldump:mysql备份工具 mysqladmin:mysql管理工具 mysqlbinlog:二进制日志查询工具 2:服务端 my ...

  9. ADOQuery的ltBatchOptimistic状态下的用法

    在ADO的ltBatchOptimistic状态下(即缓存状态),如何实现单条记录的删除与修改,也可以选择的删除或修改? 一样的删除,只是最后提交方式不一样,以前的提交最后加上try   ADOCon ...

  10. Kafka设计解析

    Kafka剖析(一):Kafka背景及架构介绍 Kafka设计解析(二):Kafka High Availability (上) Kafka设计解析(三):Kafka High Availabilit ...