手动脱壳NsPack V1.4 -> LiuXingPing *
用OD载入
来到
0040D044 > 9C pushfd
0040D045 60 pushad
0040D046 E8 00000000 call 0040D04B
0040D04B 5D pop ebp
0040D04C B8 B1854000 mov eax, 004085B1
0040D051 2D AA854000 sub eax, 004085AA
0040D056 2BE8 sub ebp, eax
F8单步,一直到
0040D155 /74 3F je short 0040D196
0040D157 |8A07 mov al, [edi]
0040D159 |47 inc edi
0040D15A |2C E8 sub al, 0E8
0040D15C |3C 01 cmp al, 1
0040D15E ^|77 F7 ja short 0040D157 ;往上跳的禁止类似的事情发生
0040D160 8B07 mov eax, [edi] ;F4,让运行到这,打断往上去
0040D162 807A 01 00 cmp byte ptr [edx+1], 0
遇到往上跳转的,就禁止。改变成往下运行
0040D257 50 push eax
0040D258 FF95 14FEFFFF call [ebp-1EC]
0040D25E 5A pop edx
0040D25F 5B pop ebx
0040D260 59 pop ecx
0040D261 5E pop esi
0040D262 83C3 0C add ebx, 0C
0040D265 ^ E2 E1 loopd short 0040D248
0040D267 61 popad ;很明显的标准
0040D268 9D popfd
0040D269 - E9 5E3EFFFF jmp 004010CC ;很大的跳转很可能就是跳向程序的入口
再F8,就到了程序的OEP,
脱壳,用PEiD,查壳,能运行,脱壳成功。