手脱ACProtect V2.0(无Stolen Code)

1.载入PEID

ACProtect V2.0 -> risco

2.载入OD

00401000 >  68 00A04000     push ACP_Feed.0040A000                         ; //入口点
00401005    68 0B104000     push ACP_Feed.0040100B
0040100A    C3              retn
0040100B    C3              retn
0040100C    858A 1D04802F   test dword ptr ds:[edx+2F80041D],ecx
00401012  - 77 82           ja short ACP_Feed.00400F96
00401014    EE              out dx,al

 

 

3.命令行输入:”bp GetCurrentProcessId”,然后shift+F9运行,落脚点在这个位置

7C8099B0 >  64:A1 18000000  mov eax,dword ptr fs:[18]                      ; //落脚点
7C8099B6    8B40 20         mov eax,dword ptr ds:[eax+20]
7C8099B9    C3              retn
7C8099BA    90              nop
7C8099BB    90              nop

 

 

4.先取消刚刚下的断点(Bp就是下断的意思),然后打开LoadPE,查看OD载入的这个程序的进程号也就是PId。我这里是”00000254”,可能不同的机器或者系统打开后显示的不同。

5.然后把步骤三中的代码进行修改,修改落脚点代码,把”mov eax,”后面的那个值改为步骤四中的Pid的值,然后把把原先落脚点下一行的mov代码整个给nop掉。修改完成后的代码变为下图这样:

7C8099B0 >  B8 54020000     mov eax,254                                    ; //落脚点
7C8099B5    90              nop
7C8099B6    90              nop
7C8099B7    90              nop
7C8099B8    90              nop
7C8099B9    C3              retn
7C8099BA    90              nop
7C8099BB    90              nop

 

 

6.步骤五执行完之后下第二个断点”BP GetModuleHandleA”,然后shift+F9,落脚点应该是这个位置

7C80B731 >  8BFF            mov edi,edi                                    ; //落脚点
7C80B733    55              push ebp
7C80B734    8BEC            mov ebp,esp
7C80B736    837D 08 00      cmp dword ptr ss:[ebp+8],0
7C80B73A    74 18           je short kernel32.7C80B754
7C80B73C    FF75 08         push dword ptr ss:[ebp+8]

 

 

7.取消断点,打开内存界面,在401000的位置下断点然后shift+F9运行,此时会弹出ACProtect的提示框,点一下确定就可以

Memory map, 项目 22
 地址=00401000
 大小=00002000 (8192.)
 属主=ACP_Feed 00400000
 区段=CODE
 包含=SFX,代码
 类型=映像 01001002
 访问=R
 初始访问=RWE

 

 

8.点完确定后就直接来到OEP了,然后使用LoadPE+ImportREC脱壳即可

00402150    55              push ebp                                       ; //OEP
00402151    8BEC            mov ebp,esp
00402153    83C4 F0         add esp,-10
00402156    53              push ebx
00402157    B8 10214000     mov eax,ACP_Feed.00402110
0040215C    E8 4FFCFFFF     call ACP_Feed.00401DB0
00402161    68 C4214000     push ACP_Feed.004021C4                         ; ASCII "ACProtect Feedback Form"
00402166    6A 00           push 0
00402168    6A 00           push 0

 

 

9.运行查壳

运行OK,查壳:Borland Delphi v3.0
posted @ 2015-11-15 23:22  许忠慧  阅读(468)  评论(0编辑  收藏  举报