标签:
1、
2、
3、第18课
基础脱壳教程18:ACProtect之寻找丢失的Stolen Code
关于Stolen Code的简单解释
1、设置异常(忽略除INT3中断的所有异常),隐藏OD
2、来到入口点,F9运行
3、程序中断在这里
4、看堆栈,找SE句柄,数据窗口跟随,下硬件访问断点,shift+F9 (ZC: 视频中这里下的是内存访问断点)
5、下断,再次SHIFT+F9,下断,再次SHIFT+F9,取消所有断点,直接F4到RETN处
6、下d 12ffc0,下硬件断点。SHIFT+F9。
7、记下Stolen Code 。
8、找到内存,在00401000处下断,F2,SHIFT+F9。
9、写入真实的代码!!
10、OD插件脱壳,注意,修正OEP地址!!
11、IR修复,用等级3。不能修复的CUT掉。抓取修复。程序还是抱错!
12、做下处理。来到壳的入口。也就是第一步记下的地址
CTRL+G,004AC000
13、写入真的OEP代码。
14、Lord PE修正入口点
15、保存,脱壳成功!
4、
5、
标签:
原文地址:http://www.cnblogs.com/debugskill/p/5583219.html
