ximo基础脱壳教程17：脱ACProtect(存在Stolen Code)

常规方法，直达OEP

修复被偷取的代码

修复，成功脱掉！

对于没有偷代码的ACProtect壳，我们直接在Memory中下断就可以，但是对于有偷代码情况的壳，我们就需要找到被偷掉的代码，进行还原，然后进行脱壳修复

我们先看一下，如果没有还原被偷掉的代码，OEP是什么样子的

 

 

我们依旧还是先用PEID查一下壳

 

 他这里虽然显示UltraProtect，但是我们看到EP段是.perplex，说明他还是一个ACProtect壳

我们用OD载入，依旧使用最后一次异常法，

 

 然后我们在堆栈窗口右键SE处理程序选择在数据窗口跟随，然后在数据窗口中右键选择内存访问断点

 

 然后shift+F9，下断，shift+F9，下断，shift+F9，取消所有断点

 

运行带retn处，然后点击上方的调试，选择设置条件

 

我们输入OEP的开头，点击确定，然后选择跟踪步入

 

 

 等待一会之后，就直接到达我们要找的地方

 

 如图所示，我们就找到了被偷去的部分，我们将被偷取的部分右键二进制复制

然后我们在memory中下断点

 

 下断，shift+F9运行

 

 这就回到了我们开始讲的地方，，我们将OEP上方的部分nop掉，然后填充我们复制的部分

 

 填充完之后，我们将EIP改为新的OEP

 

这样就完成了，然后脱壳修复即可