ACProtect Professional 1.3C 主程序脱壳(1)(图)

脱壳过程：与Unpacking Saga的UnpackMe相比，这次的脱壳经历更像是一场编码解码的冒险之旅。在解码过程中，我深刻感受到异常的频繁和多样化。特别是大量的int 3解码，这些解码过程伴随着特定的调用模式。

每当遇到int 3异常时，程序会在Dr0-Dr3中设置新的值，相当于设置了四个硬件执行断点。这些断点会在紧临int 3的位置触发异常。每次异常都会设置某个寄存器，四次异常处理必须依次执行，否则解码会失败。这种机制不仅实现了程序的解码，还顺便清除了破解者的断点，真是一举两得。

在解码过程中，我使用OllyDbg进行追踪，一边执行一边解出代码。这个过程涉及到大量的寄存器操作和内存寻址。在解码完成后，程序会跟随一个div 0异常，这个异常仅起到anti-debug的作用，可以直接跳过。

除了常规的解码过程，我还遇到了IAT加密的情况。在第16个int 3的解码过程中，隐藏了IAT加密的细节。通过OllyDbg的状态栏，我可以看到有不少dll被加载了。在获取API地址后，程序会进行四处检查，判断是否需要对这些API进行特殊处理。这个过程涉及到对特殊API的识别和处理。

这次脱壳过程是一场充满挑战和发现的旅程。通过深入理解和分析程序的编码机制，我逐渐掌握了解码的窍门，成功绕过了各种陷阱和障碍。这个过程不仅需要扎实的编程知识，还需要细致的观察和丰富的经验。每一次突破都让我感到兴奋和满足，同时也让我更加深入地理解了程序的运行机制和编码技巧。