手动脱壳NsPack V1.4 -> LiuXingPing *

最新推荐文章于 2023-08-04 16:32:00 发布
最新推荐文章于 2023-08-04 16:32:00 发布
阅读量2.2k 收藏
点赞数
文章标签: c byte
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qingye2008/article/details/1826170
版权

手动脱壳NsPack V1.4 -> LiuXingPing *

用OD载入

来到

0040D044 >  9C              pushfd
0040D045    60              pushad
0040D046    E8 00000000     call    0040D04B
0040D04B    5D              pop     ebp
0040D04C    B8 B1854000     mov     eax, 004085B1
0040D051    2D AA854000     sub     eax, 004085AA
0040D056    2BE8            sub     ebp, eax

 F8单步,一直到

0040D155   /74 3F           je      short 0040D196
0040D157   |8A07            mov     al, [edi]
0040D159   |47              inc     edi
0040D15A   |2C E8           sub     al, 0E8
0040D15C   |3C 01           cmp     al, 1
0040D15E  ^|77 F7           ja      short 0040D157                   ;往上跳的禁止类似的事情发生

0040D160    8B07            mov     eax, [edi]                              ;F4,让运行到这,打断往上去
0040D162    807A 01 00      cmp     byte ptr [edx+1], 0

遇到往上跳转的,就禁止。改变成往下运行

0040D257    50              push    eax
0040D258    FF95 14FEFFFF   call    [ebp-1EC]
0040D25E    5A              pop     edx
0040D25F    5B              pop     ebx
0040D260    59              pop     ecx
0040D261    5E              pop     esi
0040D262    83C3 0C         add     ebx, 0C
0040D265  ^ E2 E1           loopd   short 0040D248
0040D267    61              popad                                               ;很明显的标准
0040D268    9D              popfd
0040D269  - E9 5E3EFFFF     jmp     004010CC              ;很大的跳转很可能就是跳向程序的入口

再F8,就到了程序的OEP,

脱壳,用PEiD,查壳,能运行,脱壳成功。

 

 

 

 

qingye2008
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
手工脱壳之Nspack3.7教程
12-26
手工脱壳之北斗壳Nspack3.7的教程
NsPack V1.4
06-22
压缩壳\NsPack V1.4.exe
手动脱NsPacK壳实战
Fly20141201. 的专栏
07-09 2740
这里脱壳的程序是吾爱破解培训的作业2,相较于作业1稍微要强一点,但是只要掌握了脱壳的ESP定律,脱这个Nspack壳并不难,不过还是蛮有意思的。 1.使用查壳软件对加壳的程序进行查壳。 使用PE Detective查壳的结果: 使用DIE查壳的结果: 2.OD载入程序进行脱壳操作 OD载入以后,被加壳程序的入口点的汇编代码,如图。很显然,加壳程序载入OD以后,发现
nspack脱壳手动,esp法)
weixin_45574485的博客
08-28 755
1.查壳,直接丢查壳工具就可以查看,进行重定位已分离(不知道的可以看我上一篇文章https://mp.csdn.net/mdeditor/100102533#) 2.用od打开,可以发现pushfd和pushad,f8单步执行两下,在右边选中esp,下硬件断点 3.f9执行到硬件断点,此时可以看到popfd和下面一个jmp,先f8一次 4.再f8一次,可以看到代码被od误解析成数据,此时,c...
nSPack 手工脱壳过程
A_dmin的博客
07-05 2854
nSPack 手工脱壳过程 由于本人第一次进行手工去壳,记录一下过程~ 这篇文章以XCTF中的reverse进阶题crackme为例子 题目链接: 链接:https://pan.baidu.com/s/1qYHTb0l6-25RdyvAPinbYA 提取码:z8zf 或者:https://adworld.xctf.org.cn/task/answer?type=reverse&number...
手动脱壳nSPack 3.7
曲终人散
08-02 2219
ESP定律的落脚点,可以看到落脚点下面一行就是一个大跳转,我们继续F8
nSPack 手工脱壳过程-附件资源
03-02
nSPack 手工脱壳过程-附件资源
脱壳练习05(NSpack3.x)
weixin_45574485的博客
08-30 731
1.脱壳老规矩,第一步,查壳,可以看到该壳是NsPack(3.x)的壳。(这里给个忠告,脱壳前一定要清楚是什么壳,今天对这个脱壳的时候就闹了个笑话,最开始只知道有壳,也没仔细去看什么壳,结果修复导入表的时候,按照常规方法脱,程序打开失败了,其实前面也写过一个nspack的壳脱壳,当时要是注意到这是nspack的壳,可能会少走一部分弯路) 2.第二步,用od打开程序,可以发现没有什么明显的push...
攻防crackme(手动脱壳nspack
m0_62690279的博客
04-07 321
攻防crackme(手动脱壳nspack) 放到exeinfope查壳,是nspack 尝试进行手动脱壳 拖入od 设硬件断点 执行pushfd和pushad后,在esp的位置设置硬件断点 再按f9执行到popfd后,jmp跳到的地方即为oep dump:插件中dump 修复IAT fixdump:修复iat(针对上次dump后的文件) 最后生成一个crackme_dump_scy.exe文件,即为脱壳后的文件: 拖入ida int __cdecl main(int argc, const char *
脱壳入门(四)之nSPack3.7北斗压缩壳
w_g3366的博客
08-08 1224
脱壳入门(四)之nSPack3.7北斗压缩壳 一、寻找OEP 查壳:nSPack 3.7壳、编译器版本12.0(VS2013)、区段信息 寻找OEP 壳入口点就是pushad pushfd,可以用ESP定律脱壳,压栈完成后,esp下硬件断点 F7单步走到原程序入口点 二、Dump文件 三、修复文件 修复文件,可以成功运行,脱壳成功 ...
手动脱Nspack壳的分析文档
07-09
吾爱破解培训第一课作业2的分析和脱壳,主要是脱Nspack壳的过程分析。
红黑全能自动脱壳机——非常强大的脱壳工具
08-21
红黑全能自动脱壳机 非常强大的脱壳工具 下面是它能脱的壳: upx 0.5x-3.00 aspack 1.x--2.x PEcompact 0.90--1.76 PEcompact 2.06--2.79 NsPack nPack FSG 1.0--1.3 v1.31 v1.33 v2.0 VGCrypt0.75 expressor 1.0--1.5 dxpack v0.86 v1.0 !Epack v1.0 v1.4 mew1.1 packMan 1.0 PEDiminisher 0.1 pex 0.99 petite v1.2 - v1.4 petite v2.2 petite v2.3 winkript 1.0 pklite32 1.1 pepack 0.99 - 1.0 pcshrinker 0.71 wwpack32 1.0 - 1.2 upack v0.10 - v0.32 upack v0.33 - v0.399 RLPack Basic Edition 1.11--1.18 exe32pack v1.42 kbys 0.22 0.28 morphine v1.3 morphine v1.6 morphine v2.7 yoda's protector v1.02 yoda's protector v1.03.2 yoda's crypt v1.2 yoda's crypt v1.3 EXE Stealth v2.72--v2.76 bjfnt v1.2 - v1.3 HidePE 1.0--1.1 jdpack v1.01 jdpack v2.0 jdpack v2.13 PEncrypt v3.1 PEncrypt v4.0 Stone's PE Crypt v1.13 telock v0.42 telock v0.51 telock v0.60 telock v0.70 telock v0.71 telock v0.80 telock v0.90 telock v0.92 telock v0.95 v0.96 v0.98 v0.99 ezip v1.0 hmimys-packer v1.0 jdprotect v0.9b lamecrypt UPolyX v0.51 StealthPE 1.01 StealthPE 2.2 depack 涛涛压缩器 polyene 0.01 DragonArmour EP Protector v0.3 闪电壳(expressor) BeRoEXEPacker PackItBitch 木马彩衣 mkfpack anti007 v2.5 v2.6 yzpack v1.1 v1.2 v2.0 spack_method1 v1.0 v1.1 v1.2 v1.21 spack_method2 v1.1 v1.2 v1.21 xj1001 xj1000 xj看雪测试版 xj1003 xpal4 仙剑-凄凉雪 仙剑-望海潮 mslrh0.31 v0.32 [G!X]'s Protect
6000 Flat Buttons Icons Pack v2.3.unitypackage
07-04
最新版,unity2019亲测可用无报错
北斗nspack加壳4.1
04-10
可以对exe/dll文件进行压缩加壳,不要用于非法目的,感谢 一蓑烟雨 linex破解!
nspack2.3(北斗压缩).rar
10-13
nspack2.3(北斗压缩).rar nspack2.3(北斗压缩).rar
NsPack3.x脱壳手记
最新发布
輚至消亡
08-04 400
完成后就可以Fix dump了, 这样就完成了对IAT表的修复, 注意这里Fix Dump后会要你选择一个exe文件, 你要选择之前通过LordPE转储下来的exe, 因为Scylla是修复转储, 那肯定是在dump文件的基础上。发现了IAT表中有0存在, 了解过PE结构的可能会知道一般IAT表中0代表结束, 也就是说NsPack3.x把IAT表给中断了, 下面进行修复。将IAT表的大小设置成一个非常大的值, 这样就会搜索很大范围内的IAT内容而忽略了IAT表中存在0造成截断的影响。接着把无效的部分删除。
005 NsPack 1.4 之附加数据初探
鬼手的博客
03-15 336
文章目录查壳OD脱壳修复导入表处理附加数据关于附加数据NO.1NO.2NO.3 查壳 拿到样本之后先查壳 发现是NsPack 后面还有个Overlay 看到这个就要警惕了 说明PE程序尾部有附加数据 OD脱壳 载入OD之后在入口点发现了pushfd和pushad 于是采用最快的脱壳方法 使用Ctrl+S键 查找所有命令 查找对应的两条命令 在jmp的地方下断点 F7就能到达OEP 之后du...
脱壳】手脱NsPack1.4壳
magictong的专栏
11-23 4443
脱壳】手脱NsPack1.4壳   Magictong 2011-11-23 调试环境:xpsp3 调试工具:OD PEID WinHex           这是一个比较简单的壳,手脱步骤不难。通过堆栈平衡原理找OEP的方法就可以搞定了。           脱壳步骤         第一步:查壳         拿到样本之后,要使用PEID查看一下是
NSpack脱壳学习笔记
華山劍派首席大弟子
08-30 816
1,esp定律法: 开头pushfd(然后将32位标志寄存器EFLAGS压入堆栈)和pushad(将所有的32位通用寄存器压入堆栈)发现esp发生了突变,这样就可以使用esp定律法,发现到了popfd(标志寄存器出栈),发现一个大跨度的jmp//难道又和upx一样吗,这脱壳还真一个德行啊 我真傻,看到jmp oep就直接想单步进入,而不知道要先出栈,害我搞半天,为什么教程单步就能走到,为什么我
nspack3.7变异
07-08
nspack3.7变异是指nspack软件版本3.7的改变或变异。nspack是一种用于数据压缩的软件工具,用于将文件或数据进行压缩以节省存储空间或传输带宽。nspack3.7变异可能包括以下方面的变化: 1. 功能增强:nspack3.7的...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值