【脱壳】手脱NsPack1.4壳

最新推荐文章于 2023-08-04 16:32:00 发布
最新推荐文章于 2023-08-04 16:32:00 发布
阅读量4.4k 收藏 1
点赞数
分类专栏: 计算机安全 汇编 计算机安全技术 文章标签: 工具
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/magictong/article/details/7006172
版权
 

【脱壳】手脱NsPack1.4壳

 

Magictong
2011-11-23

调试环境:xpsp3
调试工具:OD PEID WinHex
 
        这是一个比较简单的壳,手脱步骤不难。通过堆栈平衡原理找OEP的方法就可以搞定了。
 
        脱壳步骤
        第一步:查壳
        拿到样本之后,要使用PEID查看一下是什么壳,这个就跟医生治病救人一样,你得先知道病人是得什么病,然后才能对症下药。但是官网下载的PEID0.95是查不出这是什么壳的,因为带的查壳插件不够,可以去看雪下一个插件比较全的0.94版本,如果这个也查不出来,那恭喜你,你可能发现了一种新壳。言归正传,我这里的一个样本正好是加了NsPack壳,在PEID里面可以看到。

        描述里面的Liuxingping难道是作者名字?Overlay的意思是有附加数据(注意,查壳工具还有其它的,自己觉得哪个好用就用哪个)。
 
        原理简介:
        刚才说过,这种NsPack1.4壳可以使用堆栈平衡的原理来脱,堆栈平衡的原理是什么?在编写加壳软件时,必须保证壳初始化的现场环境(主要是寄存器的值,尤其是ESP)与源程序的现场环境是相同的,那么加壳程序在初始化时就会首先把所有寄存器push到栈里面保存起来。壳执行完毕之后,立即恢复所有寄存器的值,然后跳转到原程序处执行。要保存所有寄存器的值,可以通过push指令将所有寄存器的值一个个的push到栈中,不过一般不会这么干,而是用pushad/popad、pushfd/popfd这两对指令来保存和恢复现场环境,我们先看看这几条特殊的指令(16位的指令一般就不用了):
pushad/popad 将所有的32位通用寄存器压入/取出堆栈
pusha/ popa 将所有的16位通用寄存器压入/取出堆栈
pushfd/ popfd 将32位标志寄存器EFLAGS压入/取出堆栈
pushf/ popf 将16位标志寄存器EFLAGS压入/取出堆栈
 
        那么编写加壳软件时,为了遵守堆栈平衡一般就会有下面这样的指令:
        PUSHAD                               ; 保存环境
        PUSHFD                               ; 标保存志寄存器,可以不要,如果不要下面的POPFD也不要
        ……
        POPFD                                  ; 恢复标志寄存器
        POPAD                                  ; 恢复环境
        JMP OEP                              ; 跳到原程序入口(这句也可以使用 PUSH OEP; RET 这两句代替)
 
        OEP:……                         ; 壳运行完毕后的原程序入口
        注:PUSHAD和PUSHFD交换位置也是没关系的,当然下面的POPAD和POPFD也就要交换位置了。
        那么在脱壳时,在执行了PUSHAD或者PUSHFD之后对ESP设置内存断点,很快就能找到OEP。
 
        第二步:脱壳
        既然有原理了,我们就来实战,上OD,把这个样本打开,入口如下:

        这个样本简直就是原理的范本。
        1、F7单步两次之后,走到那个CALL 108.0040A2BB指令处。
        2、现在ESP的值是0012FFA0,对ESP的值设置一个硬件访问断点(可以通过命令Hr 0012FFA0来设置)。
        3、F9跑起来直到中断下来,会发现走到了一个POPFD指令,嗯,可以和最开始的PUSHFD指令相呼应了,也许马上就水落石出了,注意到下一条的JMP 0040347F,这是一个E9长跳转,单步过去走到jmp的地址。

        4、现在是到这里了,这个地方应该就是真正的OEP入口。看着怪怪的,用OD强制分析一下代码,如下图,就很清晰了。

        5、DUMP文件,使用OD的插件OllyDump即可,注意选取OEP为0000347F。脱壳之后我给这个新PE起名为UnPack_108.exe,这个PE可能比较简单,不需要再额外重建输入表和清除自校验,但是原来的程序是有附加数据的(Overlay),需要把这块数据用16进制编辑工具附加到脱壳之后的PE文件UnPack_108.exe的尾部,然后就可以使用了。过程有点麻烦,而且一般都是需要修复导入表的,如果修复不成功是没法运行起来的。其实也可以不用dump文件而直接继续调试。只是每次都要手脱一下,可惜OD没有那种通过宏来保存操作的功能,否则可以把手脱的过程录制成宏。
magictong
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
简单脱壳教程笔记(5)---手脱Nspack
oBuYiSeng的博客
03-19 2089
本笔记是针对ximo早期发的脱壳基础视频教程,整理的笔记。        ximo早期发的脱壳基础视频教程 下载地址如下:            http://down.52pojie.cn/%E5%90%BE%E7%88%B1%E7%A0%B4%E8%A7%A3%E8%A7%86%E9%A2%91%E6%95%99%E7%A8%8B/ximo%e8%84%b1%e5%a3%b3%e5
第二节,北斗的如何脱,nspack. ESP定律 FSG
weixin_43430906的博客
12-11 347
脱壳流程:1.OD加载 查看代码特征,找到JUM oep; 2.窗口跟随修改硬件断点byte;3.F9运行跳向OEP 4.lordpe dump文件 5. 修改IAI 完成脱壳 6.运行软件不报错 第一步:OD加载 查看入口代码特征,找到JUM OEP 注释好,回到入口 F7/F8 单步 右边ESP 变红 右键窗口跟随 第一个字节右键 下一个硬件访问断点 或者 在下面command...
手工脱壳之Nspack3.7教程
12-26
手工脱壳之北斗Nspack3.7的教程
nspack脱壳(手动,esp法)
weixin_45574485的博客
08-28 763
1.查,直接丢查工具就可以查看,进行重定位已分离(不知道的可以看我上一篇文章https://mp.csdn.net/mdeditor/100102533#) 2.用od打开,可以发现pushfd和pushad,f8单步执行两下,在右边选中esp,下硬件断点 3.f9执行到硬件断点,此时可以看到popfd和下面一个jmp,先f8一次 4.再f8一次,可以看到代码被od误解析成数据,此时,c...
nSPack 手工脱壳过程
A_dmin的博客
07-05 2864
nSPack 手工脱壳过程 由于本人第一次进行手工去,记录一下过程~ 这篇文章以XCTF中的reverse进阶题crackme为例子 题目链接: 链接:https://pan.baidu.com/s/1qYHTb0l6-25RdyvAPinbYA 提取码:z8zf 或者:https://adworld.xctf.org.cn/task/answer?type=reverse&number...
攻防crackme(手动脱壳nspack
m0_62690279的博客
04-07 323
攻防crackme(手动脱壳nspack) 放到exeinfope查,是nspack 尝试进行手动托脱壳 拖入od 设硬件断点 执行pushfd和pushad后,在esp的位置设置硬件断点 再按f9执行到popfd后,jmp跳到的地方即为oep dump:插件中dump 修复IAT fixdump:修复iat(针对上次dump后的文件) 最后生成一个crackme_dump_scy.exe文件,即为脱壳后的文件: 拖入ida int __cdecl main(int argc, const char *
手脱nSPack 1.3
weixin_30443747的博客
11-14 59
1.PEID查 nSPack 1.3 -> North Star/Liu Xing Ping 2.载入OD,pushad下面的call哪里使用ESP定律,下硬件访问断点,然后shift+F9运行 00432356 > 9C pushfd ; //程序入口点 00432357 6...
手动脱Nspack的分析文档
07-09
吾爱破解培训第一课作业2的分析和脱壳,主要是脱Nspack的过程分析。
NsPack V1.4
06-22
压缩\NsPack V1.4.exe
脱壳4_nspack1
08-08
脱壳4_nspack1
nspack脱壳,有动画演示哦
06-01
nspack脱壳,有 动画演示,呵呵,大家支持
ASPack_2.12脱壳
04-24
ASPack_2.12脱壳
手脱nSPack 3.7
weixin_30488313的博客
11-03 118
方法一: 1.OD查—nSpack3.7的 2. 载入OD 看起来很眼熟,F8一次,然后下面就可以使用ESP定律了,使用ESP定律下断点,然后F9四次 3.F9四次后落到这个位置 接下来就是不停F8了,注意点: ①F8过程中不管是向上跳还是向下跳我们都让他实现,按照正常逻辑,向上的跳转不是应该在下面一行下断跳过去吗?起初我也是这...
NSpack脱壳学习笔记
華山劍派首席大弟子
08-30 821
1,esp定律法: 开头pushfd(然后将32位标志寄存器EFLAGS压入堆栈)和pushad(将所有的32位通用寄存器压入堆栈)发现esp发生了突变,这样就可以使用esp定律法,发现到了popfd(标志寄存器出栈),发现一个大跨度的jmp//难道又和upx一样吗,这脱壳还真一个德行啊 我真傻,看到jmp oep就直接想单步进入,而不知道要先出栈,害我搞半天,为什么教程单步就能走到,为什么我
手动脱壳nSPack 3.7
曲终人散
08-02 2230
ESP定律的落脚点,可以看到落脚点下面一行就是一个大跳转,我们继续F8
脱壳练习05(NSpack3.x)
weixin_45574485的博客
08-30 736
1.脱壳老规矩,第一步,查,可以看到该是NsPack(3.x)的。(这里给个忠告,脱壳前一定要清楚是什么,今天对这个脱壳的时候就闹了个笑话,最开始只知道有,也没仔细去看什么,结果修复导入表的时候,按照常规方法脱,程序打开失败了,其实前面也写过一个nspack脱壳,当时要是注意到这是nspack,可能会少走一部分弯路) 2.第二步,用od打开程序,可以发现没有什么明显的push...
NsPack3.x脱壳手记
最新发布
輚至消亡
08-04 413
完成后就可以Fix dump了, 这样就完成了对IAT表的修复, 注意这里Fix Dump后会要你选择一个exe文件, 你要选择之前通过LordPE转储下来的exe, 因为Scylla是修复转储, 那肯定是在dump文件的基础上。发现了IAT表中有0存在, 了解过PE结构的可能会知道一般IAT表中0代表结束, 也就是说NsPack3.x把IAT表给中断了, 下面进行修复。将IAT表的大小设置成一个非常大的值, 这样就会搜索很大范围内的IAT内容而忽略了IAT表中存在0造成截断的影响。接着把无效的部分删除。
脱壳入门(四)之nSPack3.7北斗压缩
w_g3366的博客
08-08 1233
脱壳入门(四)之nSPack3.7北斗压缩 一、寻找OEP 查:nSPack 3.7、编译器版本12.0(VS2013)、区段信息 寻找OEP 入口点就是pushad pushfd,可以用ESP定律脱壳,压栈完成后,esp下硬件断点 F7单步走到原程序入口点 二、Dump文件 三、修复文件 修复文件,可以成功运行,脱壳成功 ...
手脱ASpack
寻梦&之璐
01-29 1005
声明 首先记住刚开始的时候ESP的值 单步调试 还是那句话,遇到向下的跳转让它实现,向上的直接F4就行 ESP的值是0x0133FBE4 第一个call(步入) 第二个call(步入) 第三个call(步过)(GetModuleHandleA) 第四个call(步过)(GetProcAddress) 第五个call(步过)(VirtualAlloc) 第五个call(步过)(VirtualAlloc) 第六个call(步过)(未知) 第七个call(步过)(VirtualFree) 第八个
nspack3.7变异
07-08
nspack3.7变异是指nspack软件版本3.7的改变或变异。nspack是一种用于数据压缩的软件工具,用于将文件或数据进行压缩以节省存储空间或传输带宽。nspack3.7变异可能包括以下方面的变化: 1. 功能增强:nspack3.7的...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值