使用ollydbg从零开始cracking四十二章-acprotect v脱壳寻找绕过硬件断点检测修复stolen code.pdfVIP

第四十二章-ACProtectV1.09脱壳(寻找OEP,绕过硬件断点检测,修复Stolencode)

本章开始,讨论更加复杂的壳-ACProtect1.09。

我们一步步的来剖析这个壳的保护机制。

该例子的名称为UnPackMe_ACProtect1.09g.f。配合好反反调试插件,用OD加载之。

我们直接运行起来,看看会发生什么。

.

这里我用的是Parcheado_4(西班牙语:Patched_4)这个OD,接着按照下图来配置HideOD0.12反反调试插件,这样就可以正常运行

了,该壳会使用Process32Next这类API函数来检测OD进程,反反调试插件可以绕过。

下面我们来定位OEP。

前面章节我们介绍了很多定位OEP的方法,比如说可以使用OD自带的功能就能定位到OEP,打开主菜单项Debuggingoptions-

SFX,选择Tracerealentryblockwise(inaccurate)。接着重启OD,不一会儿断在了这里。

现在的问题是这里是否是真正的OEP,或者说是不是存在stolenbytes。我们来看一看堆栈的情况。

现在我们不勾选自动定位OEP的选项,重启OD。

我们可以看到比开始的时候多了两个值。一般来说,这样情况存在stolenbytes。下面我们来定位stolenbytes。

在定位stolenbytes之前,先来给大家介绍一下如何利用HBP.txt这个来设置硬件断点,这个方法我们在的编写那一章中介

绍过了,大家应该还记得吧！通过来设置硬件断点可以绕过很多壳对于硬件断点的检测。假如我们现在想通过设置硬件断点

让程序断在OEP处的话,我们会发现程序并不会断下来,我们可以通过HPB.txt这个来解决这个问题。下面就来给大家详细讲

解硬件断点为什么不触发的,以及HPB.txt如何解决这个问题的。

下面我们再次重启OD,分别给KiUserExceptionDispatcher以及其