0059AD3E    8BF8            MOV EDI,EAX  //我的立即是这句为特征码，EAX值是程序即将写入的内存地址，就是我们脱壳后失去的代码，做个手脚吧。修改信息框下面寄存器EAX地址为005B80FC，修改正确将看到David字符。 

0059AD40    81C7 A00F0000   ADD EDI,0FA0 

0059AD46    50              PUSH EAX 

0059AD47    B9 70170000     MOV ECX,1770 

0059AD4C    8DB5 F5204000   LEA ESI,DWORD PTR SS:[EBP+4020F5] 

0059AD52    F3:A4           REP MOVS BYTE PTR ES:[EDI],BYTE PTR DS:[> 

0059AD54    5A              POP EDX 

0059AD55    8BF2            MOV ESI,EDX 

0059AD57    81C6 A00F0000   ADD ESI,0FA0 

0059AD5D    8BFE            MOV EDI,ESI 

0059AD5F    B9 70170000     MOV ECX,1770 

0059AD64    AC              LODS BYTE PTR DS:[ESI] 

0059AD65    32C3            XOR AL,BL 

0059AD67    AA              STOS BYTE PTR ES:[EDI] 

0059AD68  ^ E2 FA           LOOPD SHORT ACProtec.0059AD64 

............................................................. 

  

3. 清除断点，命令行 d 12ffc0 

  

在12ffc0处下硬件写入Dword断点。 

  

Alt+M打开内存镜像窗口。 

  

内存镜像 

地址       大小       Owner      区段       Contains      类型   访问      初始访问  映射为 

  

00400000   00001000   ACProtec              PE header     Imag   R         RWE 

00401000   000D0000   ACProtec   CODE       code          Imag   R         RWE  //对准它下内存访问断点。 

  

呵呵，内存加硬件断点双剑合壁，Acprotect你还不投降。 

  

005B1AF4    8BEC            MOV EBP,ESP //F9一次就到达这里?什么地方。 

005B1AF6    83C4 F4         ADD ESP,-0C 

005B1AF9    60              PUSHAD 

005B1AFA    60              PUSHAD 

005B1AFB    E8 00000000     CALL ACProtec.005B1B00 

  

看寄存器 Esp= 0012FFC0 Ebp=0012FFF0 这是程序入口Push ebp语句执行过后的特征。滚动条往上看。 

  

005B1AF2    61              POPAD 

005B1AF3    55              PUSH EBP     //Stolen Code 

005B1AF4    8BEC            MOV EBP,ESP  //Stolen Code  共六个字节。 

005B1AF6    83C4 F4         ADD ESP,-0C  //Stolen Code 

005B1AF9    60              PUSHAD 

005B1AFA    60              PUSHAD 

  

继续F9 

  

0059E6B3    C600 E9         MOV BYTE PTR DS:[EAX],0E9    //程序再这里循环几次 

0059E6B6    8948 01         MOV DWORD PTR DS:[EAX+1],ECX 

0059E6B9  ^ EB DE           JMP SHORT ACProtec.0059E699 

0059E6BB    61              POPAD 

0059E6BC    C3              RETN 

................................................................ 

  

004D058A    B8 94024D00     MOV EAX,ACProtec.004D0294  //最后到达伪Oep,滚动条往上看。 

004D058F    E8 0465F3FF     CALL ACProtec.00406A98 

004D0594    A1 D0794F00     MOV EAX,DWORD PTR DS:[4F79D0] 

004D0599    8B00            MOV EAX,DWORD PTR DS:[EAX] 

004D059B    E8 90CDF7FF     CALL ACProtec.0044D330 

004D05A0    8B0D AC774F00   MOV ECX,DWORD PTR DS:[4F77AC]            ; ACProtec.004FC8A4 

004D05A6    A1 D0794F00     MOV EAX,DWORD PTR DS:[4F79D0] 

004D05AB    8B00            MOV EAX,DWORD PTR DS:[EAX] 

004D05AD    8B15 F4024C00   MOV EDX,DWORD PTR DS:[4C02F4]            ; ACProtec.004C0340 

004D05B3    E8 90CDF7FF     CALL ACProtec.0044D348 

................................................................

上一页  [1] [2] [3] 下一页