ximo基礎脫殼教程18:ACProtect之尋找丟失的Stolen Code
阿新 • • 發佈:2022-03-08
今天繼續來脫一下偷程式碼的ACProtect殼,上一次脫的是版本比較低的殼,這次我們脫的是版本比較高的殼
我們還是先查一下殼
什麼也沒有發現,但是EP段顯示.preplex,並且下面顯示UltraProtect,UltraProtect是ACProtect的先前版本
我們用OD載入,然後開啟除錯選項,取消勾選int3中斷,之前我們都是取消勾選非法訪問記憶體,但這次要勾選,一般來說,都是取消勾INT3中斷和非法訪問記憶體中斷中的一個
然後我們使用最後一次異常法,shift+F9
然後右鍵堆疊視窗的SE處理程式,,資料視窗跟隨,下記憶體訪問斷點,shift+F9
下斷,再次SHIFT+F9,下斷,再次SHIFT+F9,取消所有斷點,直接F4到RETN處
然後我們在命令視窗中輸入d 12ffc0
然後下硬體斷點,shift+F9
然後我們就找到了被偷去的程式碼
記錄下被偷的程式碼,然後跳轉到OEP
將需要的部分nop掉,然後填充,修改EIP
然後我們脫殼修復,修復完之後我們發現程式依然不能執行,這是因為高版本的ACProtect殼會檢測你的程式,所以這裡我們這裡要再進行處理
我們用OD載入修復完的程式,我們右鍵轉到修復之前的OEP
然後我們把被偷的程式碼放到起始的位置,然後跳轉到真正的OEP
然後我們儲存
選擇儲存檔案
這時候我們儲存的檔案還是不能開啟,這是因為,我們還沒有改變OEP,我們用LordPE修改它的OEP,改為修復之前的OEP
修復完之後,選擇儲存,程式正常開啟