三次内存断点脱UltraProtect 1.x -> RISCO Software Inc
三次内存断点脱UltraProtect 1.x -> RISCO Software Inc.该软件是被人破解后重新加了壳,为了对比与原文件的区别,将文件脱壳后进行了对比。PEID查看,壳为UltraProtect 1.x -> RISCO Software Inc.进入实战:
1、OD忽略所有异常,载入加壳软件:00823000 > 60 PUSHAD ; 壳入口点
00823001 E8 01000000 CALL 品茗网络.00823007
00823006 - 7C 83 JL SHORT 品茗网络.00822F8B
00823008 04 24 ADD AL,24
0082300A 06 PUSH ES
0082300B C3 RETN
0082300C 87D9 XCHG ECX,EBX
0082300E 85CB TEST EBX,ECX
00823010 87D3 XCHG EBX,EDX
00823012 E8 01000000 CALL 品茗网络.00823018
00823017 - 74 83 JE SHORT 品茗网络.00822F9C
00823019 04 24 ADD AL,24
0082301B 06 PUSH ES
0082301C C3 RETN2、ALT+M打开内存镜像,CODE断下内存访问断点,F9运行:00835583 F3:A4 REP MOVS BYTE PTR ES:,BYTE PTR DS:[>; 停在此处
00835585 58 POP EAX
00835586 50 PUSH EAX
00835587 FFB5 4AF84000 PUSH DWORD PTR SS:
0083558D E8 2C4C0000 CALL 品茗网络.0083A1BE
00835592 FFB5 4AF84000 PUSH DWORD PTR SS:
00835598 FF95 03FD4000 CALL DWORD PTR SS:
0083559E 5E POP ESI
0083559F 83C6 08 ADD ESI,8
008355A2 ^ EB B1 JMP SHORT 品茗网络.008355553、ALT+M再次打开内存镜像,DATA断下内存写入断点,F9运行:0083A221 8807 MOV BYTE PTR DS:,AL ; 停在此处
0083A223 47 INC EDI
0083A224 ^ EB C6 JMP SHORT 品茗网络.0083A1EC
0083A226 03D2 ADD EDX,EDX
0083A228 75 0C JNZ SHORT 品茗网络.0083A2364、ALT+M三次打开内存镜像,重新在CODE断下内存访问断点,F9运行,停在OEP处:005FA468 55 PUSH EBP ; OEP
005FA469 8BEC MOV EBP,ESP
005FA46B 83C4 E4 ADD ESP,-1C
005FA46E 53 PUSH EBX
005FA46F 56 PUSH ESI
005FA470 57 PUSH EDI
005FA471 33C0 XOR EAX,EAX
005FA473 8945 E4 MOV DWORD PTR SS:,EAX
005FA476 8945 EC MOV DWORD PTR SS:,EAX
005FA479 8945 E8 MOV DWORD PTR SS:,EAX
005FA47C B8 C09E5F00 MOV EAX,品茗网络.005F9EC05、LOADPE转存后用importREC修复输入表,OEP:001FA468,Get Imports,Cut掉无效指针,FIXDUMP,保存后运行正常。运气好,碰到软柿子,IAT也没有加密,好像ACProtect都是很变态的。
页:
[1]