关闭

手动脱NsPacK壳实战

标签: NsPacK壳脱壳NsPacK脱壳手动脱壳吾爱破解脱壳
1486人阅读 评论(0) 收藏 举报
分类:

作者:Fly2015

这里脱壳的程序是吾爱破解培训的作业2,相较于作业1稍微要强一点,但是只要掌握了脱壳的ESP定律,脱这个Nspack壳并不难,不过还是蛮有意思的。

1.使用查壳软件对加壳的程序进行查壳。

使用PE Detective查壳的结果:


使用DIE查壳的结果:


2.OD载入程序进行脱壳操作

OD载入以后,被加壳程序的入口点的汇编代码,如图。很显然,加壳程序载入OD以后,发现有3pushad指令,因此在进行程序脱壳的时候,根据ESP定律需要下3个硬件断点。


根据该加壳程序载入OD的汇编的特点,根据ESP定律下3个硬件断点,如图。


3F9运行加壳程序,程序自然会断在第3个硬件断点处,如图。


F7跟进到地址0044C18D处,观察后面的汇编指令的特点,经过分析以及结合反汇编的经验,找到了下面这段汇编,如图。


很显然,JMP指令后面的地址0041DDAC就是原来程序的真实OEP的地址。先删除前面设置的3个硬件断点,然后在地址0044C33CF2下断点,F4或者F9运行到该断点处断下。
删除原来设置的硬件断点:


运行到断点0044C33C处,程序断下来,如图。


F7跟进到真实OEP的地址0041DDAC处,如图。


令人烦恼的事情发生了,OD没有正确的将内存数据转换成汇编形式显示出来,因此需要我们手动的将内存数据转换成汇编指令显示出来(选中没有没有正确显示的内存数据-->右键-->分析-->分析代码或者使用快捷键Ctrl + A)


Ok,上面的汇编代码是不是很熟悉啊。现在,我们就可以使用OD的插件OllyDump或者Load PE结合RECImport 工具,进行程序的脱壳了。运行脱壳后的程序,程序运行正常。


脱Nspack壳的文档和脱壳后的程序的下载地址:http://download.csdn.net/detail/qq1084283172/8883869

0
0
查看评论

手脱UPX壳的几种方法

最近在研究各个壳的脱壳方法,有些心得,和大家分享一下如何手脱UPX的壳 我们的流程是 PEID查壳 得知壳的形式为 UPX 0.89.6 - 1.02/ 1.05 - 2.90 -> Markus & Laszlo OD载入,提示为“压缩代码是否继续分析”,我们选择否 方法...
  • xiaoyuai1234
  • xiaoyuai1234
  • 2016-05-20 17:40
  • 2157

简单脱壳教程笔记(5)---手脱Nspack壳

本笔记是针对ximo早期发的脱壳基础视频教程,整理的笔记。        ximo早期发的脱壳基础视频教程 下载地址如下:            http://down.52pojie.cn/%E...
  • oBuYiSeng
  • oBuYiSeng
  • 2016-03-19 08:23
  • 1134

手动脱UPX壳的几种方法

UPX是一种常见的压缩壳。通过PEID检测到是UPX的壳的话,可以用如下四种方式来脱壳:单步跟踪法、ESP定律、内存镜像法、POPAD查找法。1.单步跟踪法。就是使用ollydbg(简称OD)加载程序后,按F8进行单步步过。如果遇到程序向上跳转(红色箭头表示跳转实现),则在程序命令的下一行按F4,将...
  • SysProgram
  • SysProgram
  • 2011-05-05 22:06
  • 2644

手动脱壳nSPack 3.7

ESP定律的落脚点,可以看到落脚点下面一行就是一个大跳转,我们继续F8
  • u011672712
  • u011672712
  • 2016-08-02 11:01
  • 370

手动脱UPX 壳实战

作者:Fly2015 Windows平台的加壳软件还是比较多的,因此有很多人对于PC软件的脱壳乐此不彼,本人菜鸟一枚,也学习一下PC的脱壳。要对软件进行脱壳,首先第一步就是 查壳,然后才是 脱壳。 推荐比较好的查壳软件: PE Detective 、Exein...
  • QQ1084283172
  • QQ1084283172
  • 2015-07-09 10:58
  • 1892

手动脱FSG壳实战

作者:Fly2015 对于FSG壳,之前没有接触过是第一次接触,这次拿来脱壳的程序仍然是吾爱破解论坛破解培训的作业3的程序。对于这个壳折腾了一会儿,后来还是被搞定了。   1.查壳 首先对该程序(吾爱破解培训第一课作业三.exe)进行查壳: 很遗憾,这次DIE也不行了,不过没事。 ...
  • QQ1084283172
  • QQ1084283172
  • 2015-07-09 15:01
  • 2258

手动脱RLPack壳实战

作者:Fly2015 吾爱破解论坛培训第一课选修作业练习的第7题。这个壳没听说过,但是脱起来比较简单,根据ESP定律即可直达光明,Dump出原来的程序。   老规矩,首先对需要脱壳的程序进行查壳处理。 使用DIE查壳的结果,程序加的是RLPack壳并且原程序是用微软编译器编译的。 O...
  • QQ1084283172
  • QQ1084283172
  • 2015-07-15 10:05
  • 1531

手动脱ORiEN壳实战

作者:Fly2015 ORiEN这种壳之前没有接触,到底是压缩壳还是加密壳也不知道,只能试一试喽。需要脱壳的程序是吾爱破解脱壳练习第7期的题目。   首先对加壳程序进行查壳,这一步也是程序脱壳的必要的一步。 使用DIE工具对加壳程序进行查壳,发现被加壳程序原来是用Delphi语言编写的,...
  • QQ1084283172
  • QQ1084283172
  • 2015-07-14 14:31
  • 1140

手动脱WinUpack 壳实战

作者:Fly2015 吾爱破解培训第一课选修作业第6个练习示例程序。不得不重复那句话,没见过这种壳,该壳是压缩壳的一种,相对于压缩壳,加密壳的难度要大一些,特别是IAT表的修复问题上。   首先分别使用DIE和Exeinfo PE对该加壳程序进行查壳的处理。 OD载入加...
  • QQ1084283172
  • QQ1084283172
  • 2015-07-15 09:40
  • 1353

压缩壳脱壳方法

前言练习了一些简单的压缩壳的脱壳, 总结一下压缩壳脱壳操作.记录查壳工具Detect-It-Easy-master 比 PEID0.95好, 虽然有些壳也认不出来. 即使查壳工具认不出来, OD载入后, 也能看出OEP不是正常的入口. 有转到后面进行解压的过程. 使用查壳工具是为了确实是否有壳,...
  • LostSpeed
  • LostSpeed
  • 2017-01-30 16:43
  • 1064
    个人资料
    • 访问:363338次
    • 积分:5149
    • 等级:
    • 排名:第6420名
    • 原创:131篇
    • 转载:23篇
    • 译文:1篇
    • 评论:198条
    博客专栏
    Android源码: