ACProtect Professional 1.3C 主程序脱壳(1)(图)
网络安全 2021-07-03 10:05www.168986.cn网络安全知识
脱壳过程感觉与Unpacking Saga的那个UnpackMe没有太大的不同。最明显的一点是,其中的异常多了很多。大部分是固定模式的int 3解码。因为一开始打算全程跟,所以一边跟一边修改去除junk code的IDC script,写OllyScript脚本,并用WinHex把解出的代码贴到ACProtect_Fixed.exe,在IDA中用Load File|Reload the input file加载后对照。
如果在OllyDbg110C下忽略所有异常,运行时报:
500)this.width=500" title="点击这里用新窗口浏览图片" />
1. 关于int 3解码
壳中有大量的int 3解码,一边执行一边解。具有相同的调用模式:
500)this.width=500" title="点击这里用新窗口浏览图片" />
在int 3的SHE中(狼蚁网站SEO优化的div 0异常也是同一个SEH),当exception code为0x80000003时,在Dr0-Dr3中设置了新的值,即设置了4个硬件执行断点,就在紧临int 3狼蚁网站SEO优化的位置。这样执行到这4句,会触发4次异常。如果在这里F7过,SHE不会执行。
500)this.width=500" title="点击这里用新窗口浏览图片" />
当由上面的4个断点引发异常时:
500)this.width=500" title="点击这里用新窗口浏览图片" />
每次异常,会设置某个寄存器。4次异常处理必须执行,否则寄存器中没有正确值,狼蚁网站SEO优化的解码会失败。这样又顺便清除cracker的断点,是个不错的主意J。
500)this.width=500" title="点击这里用新窗口浏览图片" />
结束异常处理后,开始解码。格式是一样的,用的register不同。这里可以得到起始地址(。
500)this.width=500" title="点击这里用新窗口浏览图片" />
在jnz狼蚁网站SEO优化的地址F4,然后查看前面用于寻址的寄存器的值,减1就是解码结束地址。
500)this.width=500" title="点击这里用新窗口浏览图片" />
解完后跟着一个div 0异常。只有anti-debug作用,直接跳过即可。
2. 避开IAT加密
在第16个int 3的解码过程中,隐藏了IAT加密。其实在OllyDbg的状态栏可以看到这附近有不少dll被加载了。
500)this.width=500" title="点击这里用新窗口浏览图片" />
有4处检查,决定是否特殊处理。在用GetProcAddress得到API的地址后,开始检查。是否为特殊的API?
500)this.width=500" title="点击这里用新窗口浏览图片" />
如果在OllyDbg110C下忽略所有异常,运行时报:
500)this.width=500" title="点击这里用新窗口浏览图片" />
1. 关于int 3解码
壳中有大量的int 3解码,一边执行一边解。具有相同的调用模式:
500)this.width=500" title="点击这里用新窗口浏览图片" />
在int 3的SHE中(狼蚁网站SEO优化的div 0异常也是同一个SEH),当exception code为0x80000003时,在Dr0-Dr3中设置了新的值,即设置了4个硬件执行断点,就在紧临int 3狼蚁网站SEO优化的位置。这样执行到这4句,会触发4次异常。如果在这里F7过,SHE不会执行。
500)this.width=500" title="点击这里用新窗口浏览图片" />
当由上面的4个断点引发异常时:
500)this.width=500" title="点击这里用新窗口浏览图片" />
每次异常,会设置某个寄存器。4次异常处理必须执行,否则寄存器中没有正确值,狼蚁网站SEO优化的解码会失败。这样又顺便清除cracker的断点,是个不错的主意J。
500)this.width=500" title="点击这里用新窗口浏览图片" />
结束异常处理后,开始解码。格式是一样的,用的register不同。这里可以得到起始地址(。
500)this.width=500" title="点击这里用新窗口浏览图片" />
在jnz狼蚁网站SEO优化的地址F4,然后查看前面用于寻址的寄存器的值,减1就是解码结束地址。
500)this.width=500" title="点击这里用新窗口浏览图片" />
解完后跟着一个div 0异常。只有anti-debug作用,直接跳过即可。
2. 避开IAT加密
在第16个int 3的解码过程中,隐藏了IAT加密。其实在OllyDbg的状态栏可以看到这附近有不少dll被加载了。
500)this.width=500" title="点击这里用新窗口浏览图片" />
有4处检查,决定是否特殊处理。在用GetProcAddress得到API的地址后,开始检查。是否为特殊的API?
500)this.width=500" title="点击这里用新窗口浏览图片" />
1
上一篇:Skype的数字身份识别和加密
下一篇:另类破解灰鸽子连接密码(图)
网络安全培训
- 网络安全常见漏洞类型 网络安全常见漏洞类型包
- 绿色上网顺口溜七言 绿色上网的宣传标语
- 网络安全等级保护测评 网络安全等级保护条例
- 如何加强网络安全 网络安全隐患有哪些
- 网络安全防护措施有哪些 网络安全等级保护等级
- 如何保障网络安全 如何做好网络安全保障工作
- 维护网络安全的措施有哪些 维护网络安全的主要
- 网络安全工程师好学吗 2024年网络安全工程师好学
- 网络安全注意事项简短 网络安全注意事项100字
- 网络安全面临的挑战 当前网络安全面临的新问题
- 网络安全培训哪个靠谱 网络安全培训找哪个
- 普及网络安全知识内容 普及网络安全教育
- 网络安全防范知识宣传内容 网络安全防范知识宣
- 如何做好网络安全工作 如何做好网络安全工作
- 网络安全常识的丰富内容 网络安全的相关知识
- 青少年网络安全教育片 青少年网络安全知识讲座