简单脱壳笔记

最新推荐文章于 2021-01-27 19:25:43 发布
最新推荐文章于 2021-01-27 19:25:43 发布
阅读量592 收藏 1
点赞数
CC 4.0 BY-SA版权
文章标签: 解密
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_20977145/article/details/52744521
本文详细介绍ACProtect V2.0–VB6.0壳的特征及脱壳流程。包括如何通过特定特征找到原始入口点(OEP)并手动修复可能存在的stolenbytes问题。文章还解释了AC如何将正常解密流程置于SEH中,并提供了寻找关键跳转点的方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

这里对各类壳按照壳的特征分类说明:

一、ACProtect

1、ACProtect V2.0–VB6.0
脱壳前特征:
这里写图片描述
VB入口特征:
可以依靠此特征来找到OEP,若发生stolen bytes ,也可以手动修补
这里写图片描述
脱壳流程简介:
AC会把正常解密流程放到SEH中,故利用最后一次异常法找到关键跳转,设置跳转条件让它直接跳到OEP
1)
这里写图片描述
2)关键跳转处设置条件断点,这里是代码段内存访问断点,老版本的是 条件=push ebp
这里写图片描述
3)IAT修复没有特别之处,在此省略,it’s over !

coulson!
关注
171211 逆向-高级反调试技术
whklhhhh的博客
12-13 1289
1625-5 王子昂 总结《2017年12月11日》 【连续第437天总结】 A. 《逆向工程核心原理》-高级反调试技术 B. 花指令这种反调的难度可高可低,不过对于只靠F5的萌新们都是无解的简单的只是在代码块之间放置一些垃圾代码,通过jmp跳过,使得反汇编不正确,进而影响F5的反编译 只需要清除干扰指令,或者动态调试跟一下就能很轻松的解决复杂的则会随机插入大量的花指令,与正确代码混杂在一起
简单脱壳教程笔记(3)---手脱UPX壳(2)
oBuYiSeng的博客
03-18 6177
我们接着上一篇   ”简单脱壳教程笔记(2)---手脱UPX壳(1)“继续。我们说了UPX我们可以使用四种方式,上一篇已经详细的讲解了单步跟踪法,接下来,我们讲解其他方式。         方法2:ESP定律法             ESP是我们的是一个寄存器,当程序使用pushad命令入栈的时候,只会让esp突变,根据堆栈平衡的原则,我们就可以找到OEP了。
ACProtect ——脱壳
4SecNet团队专栏
12-11 947
这个程序是自己手动写的一个小程序,然后用ACProtect加壳工具手动加科之后再脱的,之前在网上看过一些资料,在脱ACProtect’壳的时候,需要忽略异常什么的,但是我在脱这个壳的时候并没有碰到异常的情况,接下来就介绍一下脱壳过程。 0x00 查壳 0x01程序运行 0x02调试脱壳 此次脱壳使用的方法是内存镜像法,首先在数据段下断点,运行之后断下来,之后在text段下断点之后再运行(把数...
脱壳的艺术--6. 高级及其它技术
FISH 的专栏
01-19 2099
 脱壳的艺术Mark Vincent Yason概述:脱壳是门艺术——脱壳既是一种心理挑战,同时也是逆向领域最为激动人心的智力游戏之一。为了甄别或解决非常难的反逆向技巧,逆向分析人员有时不得不了解操作系统的一些底层知识,聪明和耐心也是成功脱壳的关键。这个挑战既牵涉到壳的创建者,也牵涉到那些决心躲过这些保护的脱壳者。本文主要目的是介绍壳常用的反逆向技术,同时也探讨了可以用来躲过或禁用
高级反调试
寻梦&之璐
01-27 1294
垃圾代码 无意义的代码,也就是用来磨炼逆向人员的。。 扰乱代码对齐 这个的话,利用了代码对齐的状况,就中间插入了一个或者两个字节的指令,使得指令解析的时候,发送事故。但是在执行的时候并不会出现报错,利用跳转来控制运行流程。举个例子: 例1: 0041510F FFE3 JMP EBX //EBX=415117 00415111 C9 LEAVE 00415112 C2 0800 RETN 8 00415115 A3 687801FF MOV DWORD PTR DS:[FF01726
ASPROTECT 1.23RC4 脱壳分析
loveboom's Reverse Enginering
04-13 3441
ASPR1.23RC4脱壳之advanced im password Recovery+简单MD5【目    标】: advanced im password Recovery v2.31【工    具】:Olydbg1.1(diy版)、LORDPE、ImportREC1.6F ASPRDBGR1.0,IDA【任    务】:先脱马甲,然后hehe……【操作平台】:WINXP pro sp1 【作
简单脱壳教程笔记用到的工具和程序
03-18
http://blog.youkuaiyun.com/oBuYiSeng/article/category/6140987 中 简单脱壳教程笔记用到的工具和程序
脱壳教程笔记用到的工具和程序
03-18
http://blog.youkuaiyun.com/oBuYiSeng/article/category/6140987中的 简单脱壳教程笔记 用到的工具和程序
安卓逆向学习笔记之FART中的脱壳点.docx
最新发布
03-25
### 安卓逆向学习笔记之FART中的脱壳点 #### 一、概述 本文档将详细介绍在安卓逆向工程领域中,特别是在使用FART(Fast Android Reverse Tool)进行脱壳时的关键知识点。FART是一款针对Android平台的逆向工具,...
简单脱壳教程笔记(4)---手脱ASPACK壳
oBuYiSeng的博客
03-18 6655
笔记是针对ximo早期发的脱壳基础视频教程,整理的笔记。        ximo早期发的脱壳基础视频教程 下载地址如下:            http://down.52pojie.cn/%E5%90%BE%E7%88%B1%E7%A0%B4%E8%A7%A3%E8%A7%86%E9%A2%91%E6%95%99%E7%A8%8B/ximo%e8%84%b1%e5%a3%b3%e5
ACProtect 全系列脱壳
02-19
可脱以下系列的壳,从此ACP就此没落 -ACProtect 1.07, -ACProtect 1.09, -ACProtect 1.09c, -ACProtect 1.09e, -ACProtect 1.09g, -ACProtect 1.10, -ACProtect 1.21, -ACProtect 1.22, -ACProtect 1.22b, -ACProtect 1.23, -ACProtect 1.3? -ACProtect 1.32, -ACProtect 1.35a, -ACProtect 1.40, -ACProtect 1.41, -ACProtect 2.0 忘记说啦,失败可多点几次,他不是每次成功的,但是一定会成功,请多尝试几次
ACProtect2.0加壳工具
09-28
ACPProtect 最好用的加壳工具,亲测好用无毒
ACProtect2.1
03-13
ACProtect2.1ACProtect2.1ACProtect2.1ACProtect2.1ACProtect2.1ACProtect2.1ACProtect2.1ACProtect2.1ACProtect2.1ACProtect2.1ACProtect2.1ACProtect2.1ACProtect2.1ACProtect2.1ACProtect2.1ACProtect2.1ACProtect2.1ACProtect2.1ACProtect2.1ACProtect2.1ACProtect2.1ACProtect2.1ACProtect2.1ACProtect2.1ACProtect2.1ACProtect2.1ACProtect2.1
ACProtect壳、ASPack壳的混淆与伪装的原始程序
08-27
ACProtect壳、ASPack壳的混淆与伪装的原始程序
第39章-何谓stolen bytes1
08-03
第39章-何谓stolen bytes1
VB程序的脱壳技巧
积累点滴,保持自我
06-06 4348
自己来解决吧,也许能搞出个自创的方法,叫什么Monster脱壳法。 在这里大家必须了解一引些小知识。 VB程序的启动方式:每个VB程序通常都会调用到许多的API,但是其中有一个API是雷 打不动的,这就是我们都知道的ThunRTMain函数。VB程序在运行时,都会首先调用 ThunRTMain函数,ThunRTMain函数将会为程序初始化进程,并获取进程ID等做一些
ACProtect壳2.0版本的分析
m0_37120576的博客
05-01 704
随着壳的更新,保护技术也在不断的更新,那么我们在这里分析下2.0版本的ACP壳。 我们在将程序载入OD之后。选择SOD的OD隐藏,然后选择取消内存访问忽略,开始shift+F9,还是上次的程序,来到了int1,然后找到E句柄,数据窗口跟随,下断,shift+F9,下断,然后再次shift+F9 下断,然后再次shift+F9,然后取消所有的断点,点击M,00401000,F2下断,shift +
手脱ACProtect 1.4x -> RISCO soft (尽量从新手角度分析)
LLC
08-18 1368
ACProtect 1.4x 这位脱壳者的手段和前一个手段不一样, 我自己跟踪过acprotect ,一个MessageBox 小程序 加了acprotect,然后对其进行脱壳,最后运行不了,是IAT的问题,我手动修复了, http://www.unpack.cn/forum.php?mod=viewthread&tid=57839
手脱ACProtect V1.4X(有Stolen Code)
weixin_30654419的博客
11-16 224
1.载入PEID ACProtect V1.4X -> risco 首先需要说明的是,这个壳被偷取的代码非常多,如果去找的话会比较麻烦,所以我们换一种另类的方法,不脱壳也可以使用资源修改器对程序进行修改。先来看下被偷取的代码 0040A41E >/$ 55 push ebp 0040A41F |. 8BEC mov eb...
ASprotect脱壳机:简单易用的强大去壳工具
ASprotect脱壳机是一个专业工具,主要用于去除Windows应用程序中的ASProtect壳。ASProtect是一种常用于软件保护的壳程序,它可以防止软件被轻易复制和逆向工程分析。开发者通过使用ASProtect,能够确保他们的应用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值