第二节,北斗的壳如何脱,nspack. ESP定律 FSG壳

最新推荐文章于 2022-06-19 14:55:04 发布
最新推荐文章于 2022-06-19 14:55:04 发布
阅读量351 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43430906/article/details/103500325
版权
本文详细介绍了使用OD加载、ESP定律法来脱去nspack壳的过程,包括设置硬件断点、查找JUM OEP、dump文件、修改IAI等步骤。同时,还讲解了面对FSG壳时的特殊处理方法,涉及IAT的计算和修改,以实现成功脱壳并确保软件正常运行。
摘要由CSDN通过智能技术生成

脱壳流程:1.OD加载 查看代码特征,找到JUM oep; 2.窗口跟随修改硬件断点byte;3.F9运行跳向OEP 4.lordpe dump文件 5. 修改IAI 完成脱壳 6.运行软件不报错
第一步:OD加载 查看入口代码特征,找到JUM OEP 注释好,回到入口 F7/F8 单步 右边ESP 变红 右键窗口跟随
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
第一个字节右键 下一个硬件访问断点 或者 在下面command 中输入 rs esp 回车,F9一次
在这里插入图片描述
此时回到,注释JUM OEP 的地方,调试里删除硬件断点,F7走一步,进入OEP
在这里插入图片描述
在这里插入图片描述
特殊情况,进入OEP 里没有代码 ctrl + a 或者 如下图所示,即可调出代码

最低0.47元/天 解锁文章
JackMax529
关注
简单教程笔记(5)---手Nspack
oBuYiSeng的博客
03-19 2092
本笔记是针对ximo早期发的基础视频教程,整理的笔记。        ximo早期发的基础视频教程 下载地址如下:            http://down.52pojie.cn/%E5%90%BE%E7%88%B1%E7%A0%B4%E8%A7%A3%E8%A7%86%E9%A2%91%E6%95%99%E7%A8%8B/ximo%e8%84%b1%e5%a3%b3%e5
北斗脱壳机........
01-10
北斗脱壳机 .可大部分北斗...................
北斗ncpack的简单
weixin_33885676的博客
07-26 172
大跳转可能跳到OEP北斗1.31.ESP定律法2.内存镜像法,如果没有.rsrc的情况直接找00401000下断。3.Sfxod自动跳到疑似c++的OEP4.单步跟踪法5.atGetVersion适合于北斗3.0以下北斗2.41.ESP定律2.内存镜像法3.单步跟踪法4.脚本北斗3.71.ESP定律2.内存镜像3.单步跟踪法之后下面转点文章吧北斗4.1之二加...
入门(四)之nSPack3.7北斗压缩
w_g3366的博客
08-08 1236
入门(四)之nSPack3.7北斗压缩 一、寻找OEP 查:nSPack 3.7、编译器版本12.0(VS2013)、区段信息 寻找OEP 入口点就是pushad pushfd,可以用ESP定律,压栈完成后,esp下硬件断点 F7单步走到原程序入口点 二、Dump文件 三、修复文件 修复文件,可以成功运行,成功 ...
攻防crackme(手动nspack
m0_62690279的博客
04-07 326
攻防crackme(手动nspack) 放到exeinfope查,是nspack 尝试进行手动托 拖入od 设硬件断点 执行pushfd和pushad后,在esp的位置设置硬件断点 再按f9执行到popfd后,jmp跳到的地方即为oep dump:插件中dump 修复IAT fixdump:修复iat(针对上次dump后的文件) 最后生成一个crackme_dump_scy.exe文件,即为后的文件: 拖入ida int __cdecl main(int argc, const char *
北斗程序压缩nSpack 3.7.
07-24
北斗程序压缩nSpack 3.7.
北斗程序压缩 nSpack 3.7.rar
12-31
北斗程序压缩 nSpack 3.7.rar 用法 就不用我说 了吧
Nspack.rar
01-16
2. **命令行使用**:通过命令行界面,指定原始可执行文件(.exe或.dll)以及输出文件的路径,运行Nspack命令进行打包操作。 3. **参数设置**:Nspack支持多种参数调整,如加密强度、混淆级别等,可以根据需求进行...
手工之Nspack3.7教程
12-26
手工北斗Nspack3.7的教程
工具下载 工具下载器 v1.0
11-10
工具下载器,具有丰富的资源,只要点击下拉选择工具类型,双击即可下载,软件使用特别简单,只需下载即可使用,赶快下载吧!
最新利器FastScanner v3.0 Final
05-02
最新利器FastScanner v3.0 Final 其功能远在PE之上 PE有的功能这个也有
第二课_ESP定律详解&LordPE
07-15
第二课_ESP定律详解&LordPE,入门指导
ASpack
寻梦&之璐
01-29 1005
声明 首先记住刚开始的时候ESP的值 单步调试 还是那句话,遇到向下的跳转让它实现,向上的直接F4就行 ESP的值是0x0133FBE4 第一个call(步入) 第二个call(步入) 第三个call(步过)(GetModuleHandleA) 第四个call(步过)(GetProcAddress) 第五个call(步过)(VirtualAlloc) 第五个call(步过)(VirtualAlloc) 第六个call(步过)(未知) 第七个call(步过)(VirtualFree) 第八个
逆向crackme之ESp定律
qq_58970968的博客
06-19 809
1 前言此题来自攻防世界高手进阶区的一道逆向题目 crackme,通过对可执行程序进行,该北斗,涉及到ESP定律,大体流程是找到call处的ESp,在数据窗口中跟随,下个硬件访问断点,就到了OEP处,用ODdump就行了。完成之后使用IDA打开查看main函数里面的伪代码写脚本,最后得到flag,这里面涉及到三个常用逆向工具的使用,exeinfope,onllydbg ida;2 工具介绍OllyDugOLLYDBG是一个新的动态追踪工具,将IDA与SoftICE结合起来的思想,Ring
手动NsPack V1.4 -> LiuXingPing *
qingye
10-15 2249
手动NsPack V1.4 -> LiuXingPing *用OD载入来到0040D044 >  9C              pushfd0040D045    60              pushad0040D046    E8 00000000     call    0040D04B0040D04B    5D              pop     ebp0040
附加数据的处理实例
qingye
11-20 853
附加数据的处理【声明】:纯属技术交流【作者】:qingye附加数据的处理软件上次到附件中了。查,NsPack V1.4 -> LiuXingPing [Overlay] *,北斗。OD载入到00434F6100434F61 >  9C        pushfd00434F62    60        pushad00434F63    E8 000000>call Overlay
nspack(手动,esp法)
weixin_45574485的博客
08-28 768
1.查,直接丢查工具就可以查看,进行重定位已分离(不知道的可以看我上一篇文章https://mp.csdn.net/mdeditor/100102533#) 2.用od打开,可以发现pushfd和pushad,f8单步执行两下,在右边选中esp,下硬件断点 3.f9执行到硬件断点,此时可以看到popfd和下面一个jmp,先f8一次 4.再f8一次,可以看到代码被od误解析成数据,此时,c...
nspack3.7变异
最新发布
07-08
nspack3.7变异是指nspack软件版本3.7的改变或变异。nspack是一种用于数据压缩的软件工具,用于将文件或数据进行压缩以节省存储空间或传输带宽。nspack3.7变异可能包括以下方面的变化: 1. 功能增强:nspack3.7的变异可能增加了一些新的功能或特性。例如,可能添加了对新的压缩算法或文件格式的支持,以提高压缩效率或兼容性。 2. 性能优化:在变异中,nspack3.7的性能可能得到了提升。例如,通过改进算法或优化代码,可以改善压缩速度或解压缩效率,从而提高整体性能。 3. 用户界面改善:nspack3.7的变异还可能改进了用户界面,使其更加易于使用和操作。可能添加了新的选项或菜单项,以方便用户进行压缩或解压缩操作,或者提供了更直观的界面设计,以提升用户体验。 4. 错误修复:变异还可能修复了nspack3.7中的一些错误或漏洞。通过修复这些问题,可以提高软件的稳定性和可靠性,减少潜在的错误或故障风险。 总之,nspack3.7变异可以带来一系列的改进和优化,从而提高软件的功能性、性能和用户体验。用户可以通过升级到新的版本来享受这些变化所带来的好处。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值