ACProtect2.0脱壳
这上以前加入黑手安全网上做的教程,也搬过来吧
目标程序:红盟(内部版)TNT社工辅助.exe
所加的壳:ACProtect 2.00 - RISCO Software Inc.
首先忽略所有异常,隐藏下od
脱壳步骤:
1.程序附加(程序附加后会停在系统的领空)
代码:
7C92120F C3 RETN
7C921210 8BFF MOV EDI,EDI
7C921212 > CC INT3
7C921213 C3 RETN
7C921214 8BFF MOV EDI,EDI
7C921216 8B4424 04 MOV EAX,DWORD PTR SS:[ESP+4]
7C92121A CC INT3
7C92121B C2 0400 RETN 4
7C92121E > 64:A1 18000000 MOV EAX,DWORD PTR FS:[18]
7C921224 C3 RETN
7C921225 > 57 PUSH EDI
2.Alt+F9一次,返回到Ntdll里
代码:
7C92E514 > C3 RETN
7C92E515 8DA424 00000000 LEA ESP,DWORD PTR SS:[ESP]
7C92E51C 8D6424 00 LEA ESP,DWORD PTR SS:[ESP]
7C92E520 > 8D5424 08 LEA EDX,DWORD PTR SS:[ESP+8]
7C92E524 CD 2E INT 2E
7C92E526 C3 RETN
3.主要看堆栈
代码:
0012FFBC 0040191E 返回到 红盟(内?0040191E 来自 红盟(内?0040190E
按下enter键,然后往上拉点
看到了吧
00401908 - FF25 80104000 JMP DWORD PTR DS:[401080] ; MSVBVM60.EVENT_SINK_Release
0040190E - FF25 D4104000 JMP DWORD PTR DS:[4010D4] ; MSVBVM60.ThunRTMain
00401914 68 245E4000 PUSH 红盟(内?00405E24 ; ASCII "VB5!6&vb6chs.dll"
00401919 E8 F0FFFFFF CALL 红盟(内?0040190E ; JMP 到 MSVBVM60.ThunRTMain
这是VB语言明显的入口特点
4.下个硬件断点,然后重启程序
好了,已经断下了,现在可以进行第五步了
5.dump出来,再修复下
暂时还不能运行,还没修复。。。
成功,Microsoft Visual Basic 5.0 / 6.0
好了,教程就到这里。
动画名称:手壳ACProtect 2.0壳
制作人:天剑 QQ:360356869
脱了壳之后,想做什么就随便啦,哈
