NSpack脱壳学习笔记

最新推荐文章于 2023-08-04 16:32:00 发布
最新推荐文章于 2023-08-04 16:32:00 发布
阅读量821 收藏
点赞数
文章标签: 逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hzq24601/article/details/52373791
版权

1,esp定律法:

开头pushfd(然后将32位标志寄存器EFLAGS压入堆栈)和pushad(将所有的32位通用寄存器压入堆栈)发现esp发生了突变,这样就可以使用esp定律法,发现到了popfd(标志寄存器出栈),发现一个大跨度的jmp//难道又和upx一样吗,这脱壳还真一个德行啊,当然啦,他们都是压缩壳嘛

我真傻,看

最低0.47元/天 解锁文章
creeew
关注
简单脱壳教程笔记(5)---手脱Nspack
oBuYiSeng的博客
03-19 2093
笔记是针对ximo早期发的脱壳基础视频教程,整理的笔记。        ximo早期发的脱壳基础视频教程 下载地址如下:            http://down.52pojie.cn/%E5%90%BE%E7%88%B1%E7%A0%B4%E8%A7%A3%E8%A7%86%E9%A2%91%E6%95%99%E7%A8%8B/ximo%e8%84%b1%e5%a3%b3%e5
脱壳学习笔记1
潜心学习
06-06 1083
脱壳方面的书籍好像不多,就看雪的《加密与解密》和《软件加密技术内幕》 而视频教程里面的都没有说原理,在我的笔记里会总结一些原理性的东西 壳原理 壳的大概加载过程: 1 保存入口参数 2 获取壳用的API 3 解密原程序区块数据 4 IAT初始化 5 重定位处理(for dll) 6 跳到OEP 对壳的加载过程还是不太理解,应该自己写一个壳试试 找OEP原理
手工脱壳之Nspack3.7教程
12-26
手工脱壳之北斗壳Nspack3.7的教程
nspack脱壳(手动,esp法)
weixin_45574485的博客
08-28 768
1.查壳,直接丢查壳工具就可以查看,进行重定位已分离(不知道的可以看我上一篇文章https://mp.csdn.net/mdeditor/100102533#) 2.用od打开,可以发现pushfd和pushad,f8单步执行两下,在右边选中esp,下硬件断点 3.f9执行到硬件断点,此时可以看到popfd和下面一个jmp,先f8一次 4.再f8一次,可以看到代码被od误解析成数据,此时,c...
脱壳】手脱NsPack1.4壳
magictong的专栏
11-23 4453
脱壳】手脱NsPack1.4壳   Magictong 2011-11-23 调试环境:xpsp3 调试工具:OD PEID WinHex           这是一个比较简单的壳,手脱步骤不难。通过堆栈平衡原理找OEP的方法就可以搞定了。           脱壳步骤         第一步:查壳         拿到样本之后,要使用PEID查看一下是
nSPack 手工脱壳过程
A_dmin的博客
07-05 2879
nSPack 手工脱壳过程 由于本人第一次进行手工去壳,记录一下过程~ 这篇文章以XCTF中的reverse进阶题crackme为例子 题目链接: 链接:https://pan.baidu.com/s/1qYHTb0l6-25RdyvAPinbYA 提取码:z8zf 或者:https://adworld.xctf.org.cn/task/answer?type=reverse&number...
手动脱壳nSPack 3.7
曲终人散
08-02 2234
ESP定律的落脚点,可以看到落脚点下面一行就是一个大跳转,我们继续F8
nspack脱壳,有动画演示哦
06-01
标签“nspack脱壳”表明这是一个关于逆向工程和软件保护的专业话题,对于软件开发者、安全研究人员以及恶意软件分析人员来说都具有很高的学习价值。而压缩包内的“第二十课.nSPack(北斗) 1.3-ESP快速脱之”可能是一...
nSPack 手工脱壳过程-附件资源
03-02
nSPack 手工脱壳过程-附件资源
Nspack
07-19
Nspack3.7破译版。
NsPackNsPack
05-12
NsPackNsPackNsPackNsPackNsPackNsPackNsPackNsPackNsPackNsPackNsPackNsPackNsPackNsPackNsPackNsPackNsPackNsPackNsPackNsPackNsPackNsPackNsPack
手动脱Nspack壳的分析文档
07-09
吾爱破解培训第一课作业2的分析和脱壳,主要是脱Nspack壳的过程分析。
北斗程序压缩(NSpack)
12-10
北斗程序压缩(NSpack) 压缩特性: 能够处理32位和64位的可执行文件(exe,dll,ocx)。 可以很好的处理程序的代码、数据、资源节。 可以压缩C#.net的可执行文件。 界面更加美观漂亮,内核更加高效,兼容性更好。 压缩后的程序在网络上可减少程序的加载和下载时间。 完全支持常用压缩软件如:Upx,Aspack,Pecompact等压缩后的程序,再次进行压缩。 独有的最大压缩方式,使得程序体积变得更小。 支持目录和多文件的压缩操作。 右键压缩增加进度显示功能。 添加了兼容性压缩功能。
nspack2.3(北斗压缩).rar
10-13
nspack2.3(北斗压缩).rar nspack2.3(北斗压缩).rar
脱壳练习05(NSpack3.x)
weixin_45574485的博客
08-30 739
1.脱壳老规矩,第一步,查壳,可以看到该壳是NsPack(3.x)的壳。(这里给个忠告,脱壳前一定要清楚是什么壳,今天对这个脱壳的时候就闹了个笑话,最开始只知道有壳,也没仔细去看什么壳,结果修复导入表的时候,按照常规方法脱,程序打开失败了,其实前面也写过一个nspack的壳脱壳,当时要是注意到这是nspack的壳,可能会少走一部分弯路) 2.第二步,用od打开程序,可以发现没有什么明显的push...
NsPack3.x脱壳手记
最新发布
輚至消亡
08-04 426
完成后就可以Fix dump了, 这样就完成了对IAT表的修复, 注意这里Fix Dump后会要你选择一个exe文件, 你要选择之前通过LordPE转储下来的exe, 因为Scylla是修复转储, 那肯定是在dump文件的基础上。发现了IAT表中有0存在, 了解过PE结构的可能会知道一般IAT表中0代表结束, 也就是说NsPack3.x把IAT表给中断了, 下面进行修复。将IAT表的大小设置成一个非常大的值, 这样就会搜索很大范围内的IAT内容而忽略了IAT表中存在0造成截断的影响。接着把无效的部分删除。
攻防crackme(手动脱壳nspack
m0_62690279的博客
04-07 326
攻防crackme(手动脱壳nspack) 放到exeinfope查壳,是nspack 尝试进行手动托脱壳 拖入od 设硬件断点 执行pushfd和pushad后,在esp的位置设置硬件断点 再按f9执行到popfd后,jmp跳到的地方即为oep dump:插件中dump 修复IAT fixdump:修复iat(针对上次dump后的文件) 最后生成一个crackme_dump_scy.exe文件,即为脱壳后的文件: 拖入ida int __cdecl main(int argc, const char *
脱壳入门(四)之nSPack3.7北斗压缩壳
w_g3366的博客
08-08 1237
脱壳入门(四)之nSPack3.7北斗压缩壳 一、寻找OEP 查壳:nSPack 3.7壳、编译器版本12.0(VS2013)、区段信息 寻找OEP 壳入口点就是pushad pushfd,可以用ESP定律脱壳,压栈完成后,esp下硬件断点 F7单步走到原程序入口点 二、Dump文件 三、修复文件 修复文件,可以成功运行,脱壳成功 ...
nspack3.7变异
07-08
nspack3.7变异是指nspack软件版本3.7的改变或变异。nspack是一种用于数据压缩的软件工具,用于将文件或数据进行压缩以节省存储空间或传输带宽。nspack3.7变异可能包括以下方面的变化: 1. 功能增强:nspack3.7的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值