Stolen Code : 就是有的壳会把 OEP 隐藏或者抽取一部分代码, 让我们无法进行修复
还是那个 QQ 非主流昵称, 查壳发现什么也没有, EP 区段是 .perplex
以后看见这个 EP 区段就应该知道是 ACProtect 壳
运行程序, 程序弹出 ACProtect 的提示, 然后运行主程序
目录 Table of Contents
1.设置异常,隐藏OD
只把 内存访问异常 的勾勾去掉, 我虚拟机里是 非法访问内存, 那就把这个勾勾去掉~
然后隐藏 OD, 视频里用的 OD 调试隐藏插件把 OD 隐藏, 但是那个太老了, 我们用 Strong OD
Strong OD 使用方法 : https://www.xuepojie.com/thread-7191-1-1.html
Shift F9 两次之后程序跑飞, 我们运行一次来到 int 1
2. SE处下内存访问断点
我们在堆栈窗口找, 找 SE处理程序
右键数据窗口跟随
然后我们在数据窗口那里下 内存访问断点
因为这个壳对断点的检测比较厉害, 一般的断点可能断不下来, 所以我们选择 内存访问断点
3. SHIFT+F9,F2,再一次 SHIFT+F9,下断,再一次SHIFT+F9
我们在刚才断的地方再下一个断点, 直接 F2
再次 Shift F9
然后我们再次 F2, Shift F9
4. 取消所有断点
接下来我们删除断点, Alt+B 然后删除
不要忘了内存访问断点, 如果不删掉的话我们不能用 F4 了, 会卡在上面下不来
我们右键 断点, 删除内存断点
然后我们在 retn 那里 F4
5. 内存, 00401000, F2, SHIFT+F9
接着来到内存 Alt+M, 找到 .text 段, 然后 F2
Shift F9, 发现程序弹出 ACProtect 的提示窗口, 我们不管, 直接关掉, 发现跳到 OEP 004012D4
6. 直达OEP!!
看到这个入口特征就发现它是个 VB 程序, 这个壳比较简单没出现比较坑的情况
7. 修复,脱壳成功
Import REC 发现只有一个函数, 转储到文件 发现可以运行, 查壳发现脱壳成功~
脱壳后 ACProtect 的提示窗口也消失了
