加密壳之ACProtect之OEP的处理

2016-1-18 0:0:0　wondial

菜驹也玩加密壳之ACProtect之OEP的处理

附件下载：加壳文件和pdf

1. 加密过程：

ACProctect v1.41版本

分析对OEP入口点代码的偷取

2. 分析过程：

载入后，EIP= 00412000

00412000> 60 pushad

00412001 E8 01000000 call vcmfc库1.00412007

00412006 - 7E 83 jle Xvcmfc库1.00411F8B

00412008 04 24 add al,0x24

0041200A 06 push es

0041200B C3 retn

0041200C 77 01 ja Xvcmfc库1.0041200F

0041200E 43 inc ebx

0041200F FC cld

00412010 75 01 jnz Xvcmfc库1.00412013

入口点是在壳段（地址：00412000,大小:19000）

根据壳的特征，用ESP，在00412001处下HR ESP

来到这里：

0041254A 56 push esi

0041254B 8F05 A1294100 pop dword ptr ds:[0x4129A1]

00412551 60 pushad

00412552 78 03 js Xvcmfc库1.00412557

00412554 79 01 jns Xvcmfc库1.00412557

00412556 7B 40 jpo Xvcmfc库1.00412598

可以看到pushad,清除上面的硬件断点后，在pushad下面下HR ESP

来到这里：

00427753 51 push ecx

00427754 8F05 89284100 pop dword ptr ds:[0x412889] ; [889] = ecx

0042775A 60 pushad

0042775B 61 popad

0042775C 51 push ecx

0042775D 8F05 CD294100 pop dword ptr ds:[0x4129CD] ; [9cd] = ecx

00427763 FF35 CD294100 push dword ptr ds:[0x4129CD]

00427769 8915 E1284100 mov dword ptr ds:[0x4128E1],edx

0042776F FF35 E1284100 push dword ptr ds:[0x4128E1]

00427775 56 push esi

00427776 BE 11294100 mov esi,vcmfc库1.00412911

0042777B 8BD6 mov edx,esi

0042777D 5E pop esi

0042777E 52 push edx

0042777F 59 pop ecx ; ecx =edx = 412911

00427780 8F05 3D284100 pop dword ptr ds:[0x41283D]

00427786 8B15 3D284100 mov edx,dword ptr ds:[0x41283D]

0042778C 8929 mov dword ptr ds:[ecx],ebp ; [412911] = ebp

0042778E 8F05 A12A4100 pop dword ptr ds:[0x412AA1]

00427794 56 push esi

00427795 BE A12A4100 mov esi,vcmfc库1.00412AA1

0042779A 8B0E mov ecx,dword ptr ds:[esi]

0042779C 5E pop esi

0042779D FF35 11294100 push dword ptr ds:[0x412911] ; 这地方就是被偷的第一句代码pushebp

004277A3 8925 192B4100 mov dword ptr ds:[0x412B19],esp

004277A9 90 nop

004277AA 90 nop

004277AB 60 pushad

004277AC E8 01000000 call vcmfc库1.004277B2

004277B1 ^ 77 83 ja Xvcmfc库1.00427736

注意其中的nop nop pushad 这三条指令，出现这个意味着这就是偷取的代码的开始。。。。当然，这里的nop是随意填充的，可能没有，也可能有一个，也可能有两个，也可能多个..关键是pushad指令

把NOP之前的指令全部复制成二进制保存。

00427753 51 push ecx

00427754 8F05 89284100 pop dword ptr ds:[0x412889] ; [889] = ecx

0042775A 60 pushad

0042775B 61 popad

0042775C 51 push ecx

0042775D 8F05 CD294100 pop dword ptr ds:[0x4129CD] ; [9cd] = ecx

00427763 FF35 CD294100 push dword ptr ds:[0x4129CD]

00427769 8915 E1284100 mov dword ptr ds:[0x4128E1],edx

0042776F FF35 E1284100 push dword ptr ds:[0x4128E1]

00427775 56 push esi

00427776 BE 11294100 mov esi,vcmfc库1.00412911

0042777B 8BD6 mov edx,esi

0042777D 5E pop esi

0042777E 52 push edx

0042777F 59 pop ecx ; ecx =edx = 412911

00427780 8F05 3D284100 pop dword ptr ds:[0x41283D]

00427786 8B15 3D284100 mov edx,dword ptr ds:[0x41283D]

0042778C 8929 mov dword ptr ds:[ecx],ebp ; [412911] = ebp

0042778E 8F05 A12A4100 pop dword ptr ds:[0x412AA1]

00427794 56 push esi

00427795 BE A12A4100 mov esi,vcmfc库1.00412AA1

0042779A 8B0E mov ecx,dword ptr ds:[esi]

0042779C 5E pop esi

0042779D FF35 11294100 push dword ptr ds:[0x412911] ; 这地方就是被偷的第一句代码pushebp

004277A3 8925 192B4100 mov dword ptr ds:[0x412B19],esp

这段代码的二进制数据为：

51 8F 05 89 2841 00 60 61 51 8F 05 CD 29 41 00 FF 35 CD 29 41 00 89 15 E1 28 41 00 FF 35 E128 41 00 56 BE 11 29 41 00 8B D6 5E 52 59 8F 05 3D 28 41 00 8B 15 3D 28 41 0089 29 8F 05 A1 2A 41 00 56 BE A1 2A 41 00 8B 0E 5E FF 35 11 29 41 00 89 25 192B 41 00

重复上面的步骤，直到n次，怎么确定n,我这里是弹出试用版nag之后就出现了。

把这n次之间的二进制数据都保存下来。

00429106 /EB 01 jmp Xvcmfc库1.00429109

00429108 |E8 FF254B91 call 918DB70C

0042910D 42 inc edx

00429106处是一个近跳，F7进去

00429109 - FF25 4B914200 jmp dword ptr ds:[0x42914B] ; vcmfc库1.00405391

0042910F 60 pushad

00429110 E8 00000000 call vcmfc库1.00429115

00429115 5E pop esi

00429116 83EE 06 sub esi,0x6

其中：

ds:[0042914B]=00405391 (vcmfc库1.00405391)

这是一个跨段的长跳转，何为跨段？当前指令是在00429109 它要跳到00405391，

从模块图中看出，它是要从.perplex段跳到.text段执行..这就是传说中的跨段

所以说，进到代码段后，就是传说中的伪OEP了，伪OEP是长得这个样子的

下面就把它DUMP出来

用import rec修复下IAT，没有问题 fix一下dump出来的文件

Import rec会给文件加一个.mackt的区段，里面存的是输入表，大小为1000，输入表用不了这么大的空间，我们把被偷的代码放在这个区段里好了。

用OD打开修复过和dump_.exe，在0042b000的段处找一个空的位置，

我找的是0042BBA0，把上面得到的二进制贴上去，贴完后，再加上一句JMP 00405391（跳到伪OEP）

0042BEBF 58 POP EAX

0042BEC0 8908 MOV DWORD PTR DS:[EAX], ECX

0042BEC2 A1 A4604000 MOV EAX, DWORD PTR DS:[0x4060A4]

0042BEC7 - E9 C594FDFF JMP dumped_.<ModuleEntryPoint>

用LOAD PE把入口点修改成0042BBA0，OK，完工。。。

保存的所有的二进制数据:

00427753 51 push ecx

00427754 8F05 89284100 pop dword ptrds:[0x412889] ; [889]= ecx

0042775A 60 pushad

0042775B 61 popad

0042775C 51 push ecx

0042775D 8F05 CD294100 pop dword ptrds:[0x4129CD] ; [9cd]= ecx

00427763 FF35 CD294100 push dword ptrds:[0x4129CD]

00427769 8915 E1284100 mov dword ptrds:[0x4128E1],edx

0042776F FF35 E1284100 push dword ptrds:[0x4128E1]

00427775 56 push esi

00427776 BE 11294100 mov esi,vcmfc库1.00412911

0042777B 8BD6 mov edx,esi

0042777D 5E pop esi

0042777E 52 push edx

0042777F 59 pop ecx ; ecx =edx = 412911

00427780 8F05 3D284100 pop dword ptrds:[0x41283D]

00427786 8B15 3D284100 mov edx,dword ptrds:[0x41283D]

0042778C 8929 mov dword ptrds:[ecx],ebp ;[412911] = ebp

0042778E 8F05 A12A4100 pop dword ptrds:[0x412AA1]

00427794 56 push esi

00427795 BE A12A4100 mov esi,vcmfc库1.00412AA1

0042779A 8B0E mov ecx,dword ptrds:[esi]

0042779C 5E pop esi

0042779D FF35 11294100 push dword ptrds:[0x412911] ; 这地方就是被偷的第一句代码pushebp

004277A3 8925 192B4100 mov dword ptrds:[0x412B19],esp

51 8F 05 89 28 41 00 60 61 51 8F 05 CD 2941 00 FF 35 CD 29 41 00 89 15 E1 28 41 00 FF 35 E1 28

41 00 56 BE 11 29 41 00 8B D6 5E 52 59 8F05 3D 28 41 00 8B 15 3D 28 41 00 89 29 8F 05 A1 2A 41

00 56 BE A1 2A 41 00 8B 0E 5E FF 35 11 2941 00 89 25 19 2B 41 00

FF 35 19 2B 41 00 8F 05 C1 29 41 00 56 BEC1 29 41 00 8B 2E 5E 57 BF 9D 29 41 00 89 1F 5F FF 35

9D 29 41 00 89 35 31 28 41 00 FF 35 31 2841 00 68 FF FF FF FF 5E 89 35 99 2A 41 00 8B 1D 99 2A

41 00 8F 05 0D 2A 41 00 8B 35 0D 2A 41 0057

89 1C 24 8F 05 05 29 41 00 8F 05 19 28 4100 FF 35 19 28 41 00 5B FF 35 05 29 41 00 89 05 D5 2A

41 00 FF 35 D5 2A 41 00 89 3C 24 89 0C 24C7 04 24 A0 61 40 00 57 8F 05 E1 2A 41 00 FF 35 E1 2A

41 00 89 1C 24 C7 04 24 C0 54 40 00

64 A1 00 00 00 00 89 05 A5 29 41 00 FF 35A5 29 41 00 89 1C 24 89 0D 85 2A 41 00 FF 35 85 2A 41

00 57 BF 91 29 41 00 8B CF 5F 56 8B F1 8BDE 5E 8B 0C 24 8F 05 B5 2A 41 00 89 03 8B 1C 24 8F 05

ED 28 41 00 FF 35 91 29 41 00

64 89 25 00 00 00 00 83 EC 68 53 8F 05 D529 41 00 FF 35 D5 29 41 00 8F 05 99 28 41 00 FF 35 99

28 41 00 57 89 04 24 8F 05 65 29 41 00 FF35 65 29 41 00 89 34 24 52 8F 05 F1 28 41 00 FF 35 F1

28 41 00 89 3D C9 2A 41 00 FF 35 C9 2A 4100

56 8F 05 31 2A 41 00 60 61 68 E5 2A 41 005F 51 8B CF 8B D1 59 8F 05 B9 28 41 00 8B 3D B9 28 41

00 89 3A 8F 05 D1 28 41 00 53 BB D1 28 4100 8B 13 5B FF 35 E5 2A 41 00 89 65 E8 33 DB 89 5D FC

89 15 85 29 41 00 FF 35 85 29 41 00 89 3424 53 89 14 24 50 B8 02 00 00 00 60

8B D0 58 52 5E 8F 05 01 2A 41 00 8B 15 012A 41 00 56 89 14 24 50 B8 25 29 41 00 8B D0 58 89 32

8F 05 AD 29 41 00 8B 15 AD 29 41 00 8B 3424 8F 05 B9 2A 41 00 FF 35 25 29 41 00 FF 15 98 60 40

00 8F 05 01 29 41 00 50 B8 5D 2A 41 00 8938 58

FF 35 5D 2A 41 00 51 C7 04 24 01 29 41 008F 05 85 28 41 00 8B 3D 85 28 41 00 8B 0F 8B 3C 24 8F

05 61 29 41 00 83 0D B4 F1 40 00 FF 83 0DB8 F1 40 00 FF FF 15 9C 60 40 00 89 05 C1 28 41 00 FF

35 C1 28 41 00 57 BF 35 28 41 00 8B C7 5F89 30

8B 04 24 8F 05 41 28 41 00 FF 35 35 28 4100 50 8F 05 6D 2A 41 00 FF 35 6D 2A 41 00 89 3D 39 28

41 00 FF 35 39 28 41 00 51 B9 7C 71 40 008B F9 59 57 58 5F 50 5E 8F 05 2D 2A 41 00 8B 05 2D 2A

41 00 8B 0E 8F 05 11 2B 41 00 FF 35 11 2B41 00

55 8F 05 25 2B 41 00 60 61 5E 89 08 FF 15A0 60 40 00 52 8F 05 55 2A 41 00 FF 35 55 2A 41 00 C7

05 29 29 41 00 78 71 40 00 FF 35 29 29 4100 8F 05 35 2A 41 00 8B 15 35 2A 41 00 8B 0A 8F 05 C9

28 41 00 50 B8 C9 28 41 00 8B 10 58 89 08A1 A4 60 40 00

如果您的问题还没有解决，可以到 T+搜索>>上找一下答案

分享到：

微博关注

bj用友软件

最新信息

一起听用友NCV6.5的故事：让大型企业信息化走向轻量化

一起听用友NCV6.5的故事：让大型企业信息化走向轻量化一起听用友NCV6.5的故事：让大型企业信息化走向轻量化向企业互联网化市场进军，两年前的用友是一个“保守派”，王文京并未把公司所有业务一次性抛入汹涌澎湃的互联网激流中，而是选择用一小部分业务去试水，这可能也是大型集团公司必须要走的路线。所谓“船小好调头”，“开大船”的策略是首要确保整个航线的安全和平稳。如果说，主打中小企业市场的畅捷通，是用友企业互联网化的第一块“试验田”；那么致力于中大型企业业务的用友NC，是用友一直保留到最后的“王牌”。而当用友NCV6.5即将高调亮相，整装待发，代表着用友的“大部队”开始全力挺近企业互联化市场。转向轻量化， NCV6.5“让大象也能跳舞” 了解用友的人都知道，NC是用友面向集团型企业和高成长型企业推出的高端ERP产品，这类客户的特点是：企业机构庞大，业务种类繁多，对信息系统要求高，企业互联网化转型起步较晚。但如果集团型企业一旦转型成功，创造的社会价值也非常惊人。为了实现这一宏伟目标，用友网络将在2015年年底推出NCV6.5版本，该产品无论是从性能还是从技术创新角度看，都有很大的提升。但总体的设计理念是让集团信息化应用走向“轻量化”。那么，新版NC到底有哪些创新点？用友网络NCV6.5平台产品总监李惠苹，用“技术重构”四个字来整体概括用友NC的最新变化。NCV6.5嵌入了美观易用的客户端，更多应用转为了轻量化、整合了社交化，更多地融入了互联网应用体验。具体而言，NCV6.5有如下四个特征：
第一， NCV6.5以人、财、物、客管理以及电子商务应用为核心，与移动、大数据、物联网等最新技术进行集成。秉承过去精华，新版NC仍然主打平台化战略，基于开放的iUAP互联网平台构建。新技术的引入带来了丰富的应用创新，比如共享服务、数字营销、个性化定制、柔性生产这些新模式；移动应用加速推进，比如移动HR、微招聘、掌上协同、智慧资产管理、项目现场管理等；包括前台、中台、后台架构的电商平台也支持了B2B应用的完善。
第二、以混合云模式支撑大型企业的互联网化转型。为了满足用户多样性需求，NCV6.5可支持用户ERP应用的混合云部署。用友内部已经对很多应用进行了对接，包括用友惠商云，畅捷支付、UAP IM等。NCV6.5可将企业关键业务应用分别部署在公有云和私有云上，既保证了企业重要数据的安全性，又满足了企业应用的灵活性需求。　
第三，加入社交化元素。我们都知道，NC已经足够复杂和沉重，所以NCV6.5的技术突破和创新点是在前端，而社交可以让企业的应用变得轻量化，能提供更好的用户体验。为此，NCV6.5融合了工作圈、有信、电话会议等应用。比如， NCV6.5集成了有信以后，就让NC具备了IM的所有功能。首先，有信与NC企业通讯录打通，让用户可以及时与相关人员进行沟通与互动，包括企业员工、领导、供应链伙伴和客户等。用户可以直接用网络的方式发语音、文字、图片，还可以直接拨打电话。另外，NC打通了企业上下游供应链上的所有数据，用户还可以在基于单据的业务流转中发起讨论，类似于企业业务中基于一个单据的群聊，这等于企业把非结构化的数据和结构化的单据数据进行了关联。NCV6.5一改过去冷冰冰的单线、命令式系统架构，让系统变得更人性，更温暖，企业员工、客户、供应商像进入一个社交网站一样，愉快工作，高效协同。
第四、提升系统对大并发、高效运维能力的支持。集团型企业向互联网企业转型，安全和稳健是第一位。从底层的网络到上层的数据库，以及所有前后端的关键应用，NCV6.5全部做了安全和性能测试。为了给用户提供高质量的运维服务，新版NC还配套推出了互联网化运维服务产品：NC运维云管家、iSM服务台、在线咨询系统，与用友客户服务云平台连接，构成了全新的客户服务体系。借助这一体系，NC的运维服务变传统的被动响应模式为主动服务模式，同时提供了知识库和服务社区，方便客户自助与他助，构建客户服务新生态。
NCV6.5可以更好地满足千亿级企业应用效率的要求，是大型企业快速实现互联网化转型的利器。NCV6.5的研发历时近3年实现了NC发展的重大跨越，代表着用友NC向互联网化转型的决心和力度。
梳理NCV6.5背后的故事，近20年的厚积薄发
我们都知道，NC1.0于1998年推出，发展到后来的NC2.0、NC3.0、NC5.0等，NC与中国集团型企业并肩走了近20年。如今，NC的业务已经涵盖到集中财务管理、供应链管理、生产制造、人力资源、商业智能等全面应用，拥有金融、烟草、电力、传媒、出版、医药、电子、大型连锁流通等二十多个专业化的行业解决方案。要问谁最懂集团型用户业务，NC曾经的辉煌依然在闪烁，但当企业互联网化时代来临，NC开始重新审视自己，进行了自我革命式的改变。
2014年，NC开启了6.5版本的研发征程。以财务共享产品研发为例：2014年12月，NCV6.5首先解决的是费用共享问题，建立共享平台。在这一阶段，要实现网上报账（即原来的网上报销+费用管理）共享服务，在即将开发的共享服务任务作业平台，实现按需定义共享服务委托关系、岗位结构、作业派单分配等。另外，还要具有OEM影像伙伴的服务能力，支持网报领域产品的单据都可以扫描影像和（双屏）查看影像。最重要的是，全方位提升客户的协同能力，包括开发门户的协同，建立报账人门户、审批人门户等，支持支持手机拍照制单，实现“NCV6.5共享服务系统+NC5总账”集成。
2015年8月底，NCV6.5财务共享产品进入第二阶段， NCV6.5不仅实现应收、应付、资金、固资共享，还可以建立“影像管理”独立领域，实现可方便与第三方影像伙伴集成，具备完整电子档案管理能力。共享服务中心绩效分析、更广义业务的共享或异构系统集成，也都能轻松实现。
在2015年11月NCV6.5推出前，共享服务专版的水平产品集成测试已经完成，正式推向用户。
财务共享产品的研发，才只是NCV6.5的冰山一角，对于整个版本的研发，用友到底动投入了多少人力、物力，我们可想而知。
所以， NCV6.5绝对是用友面向集团型企业的呕心沥血之作。当企业互联网化进程加速，NC必将为集团型客户的业务创新带来蝴蝶效应。

用友网络荣获首批信息系统运维服务一级资质

用友网络荣获首批信息系统运维服务一级资质用友网络荣获首批信息系统运维服务一级资质用友网络科技股份有限公司（以下称“用友网络”）于9月15日荣获中国电子信息行业联合会（以下称“电子联合会”）颁布的《信息系统集成及服务资质运行维护分项资质》（壹级），成为15家首批获得壹级资质的企业。
该资质是为适应信息系统集成技术和市场的发展要求，便于企业选择信息系统运行维护服务提供商，是对信息系统运维服务提供商的综合实力体现及行业内的最高认可。该资质由电子联合会组织对企业的业绩、运维体系、技术实力、团队能力等方面进行全方位考量，对企业进行评级（共四级，一级最高）。
用友网络一直致力于在IT服务领域不断创新，结合云计算、大数据、互联网+等理念在服务O2O模式的基础上，为客户提供服务运营管理咨询、产品支持服务、驻场服务、应用优化服务、IT专业技术服务、培训服务和iSM 运维服务管理平台等服务。

哎，收个代账费哦，一推在推，说了打款，狗日的仅到不打款，你也不是没有钱，而是喜欢拖欠，点都没得诚信德。

哎，收个代账费哦，一推在推，说了打款，狗日的仅到不打款，你也不是没有钱，而是喜欢拖欠，点都没得诚信德。哎，收个代账费哦，一推在推，说了打款，狗日的仅到不打款，你也不是没有钱，而是喜欢拖欠，点都没得诚信德。[]

生活就是如此不易

U8.50固定资产结转

U8.50固定资产结转U8.50固定资产结转

U8.50-固定资产结转

自动编号:	3948	产品版本:	U8.50
产品模块:	固定资产	所属行业:	通用
适用产品:	U85x	关键字:	U850X固定资产结转出错
问题名称:	固定资产结转
问题现象:	固定资产结转后期初累计折旧数与去年期末数不符
原因分析:	程序问题
解决方案:	修改fa_Total中的dblYearDeprTotal年初累计折旧，dblMonthDeprTotal月初累计折旧，由于客户一月已计提，因此还要修改dblDeprTotal月末累计折旧。修改方法是按部门、资产类别来进行修改温馨提示：如果您的问题还没有解决，欢迎进入用友云基地。

运维服务

返回用友云基地

首页

加密壳之ACProtect之OEP的处理

微博关注

相关阅读

最新信息

运维服务

资源下载

热点文章

新闻资讯

【新年首签】天津用友&通广集团签署战略协议

会计职场堪比宫斗剧

用友热销产品

知识库

用友软件年度结转操作步骤

12.1用友备份

会计家园

管理软件

T3卸载就会跳到安装界面去，用360工具也卸载不了。请问这种情况哪位老师遇见过，我们应该如何处理。谢谢、在线等。

用友T3-业务通在11.0的软件中点击打印软件就自动退出

首页

加密壳之ACProtect之OEP的处理

微博关注

相关阅读

最新信息

运维服务

资源下载

热点文章

新闻资讯

【新年首签】天津用友&通广集团签署战略协议

会计职场堪比宫斗剧

用友热销产品

知 识 库

用友软件年度结转操作步骤

12.1用友 备份

会计家园

管理软件

T3卸载就会跳到安装界面去，用360工具也卸载不了。请问这种情况哪位老师遇见过，我们应该如何处理。谢谢、在线等。

用友T3-业务通在11.0的软件中点击打印软件就自动退出

知识库

12.1用友备份