nspack脱壳(手动,esp法)

最新推荐文章于 2023-08-04 16:32:00 发布
最新推荐文章于 2023-08-04 16:32:00 发布
阅读量748 收藏 3
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45574485/article/details/100119459
版权

1.查壳,直接丢查壳工具就可以查看,进行重定位已分离(不知道的可以看我上一篇文章https://mp.csdn.net/mdeditor/100102533#)
在这里插入图片描述
2.用od打开,可以发现pushfd和pushad,f8单步执行两下,在右边选中esp,下硬件断点
在这里插入图片描述
3.f9执行到硬件断点,此时可以看到popfd和下面一个jmp,先f8一次
在这里插入图片描述
4.再f8一次,可以看到代码被od误解析成数据,此时,ctr+a,可以看到如下代码界面
在这里插入图片描述
5.回车进入这个call,发现其有很明显的四个call,这是主函数前的安全函数常调用的call
在这里插入图片描述
6.esc回到call之前,下面的jmp就是跳向oep,此时需要先把硬件断点取消掉,不然f8过不去,会先遇到硬件断点。(方法:od右上角有一栏,点击其中原点那个图标,就可以看到硬件断点了)
在这里插入图片描述
7.f8两次,调到oep
在这里插入图片描述
8.使用od自带的工具脱壳,右键—使用od脱壳调试教程—取消勾选重建输入表—随便取个名字保存—od别关
在这里插入图片描述
在这里插入图片描述
9.打开import reconstructor,附加一个活动进程—选中od正在调试的程序
在这里插入图片描述
10.将刚刚的地址复制到oep栏,按下图顺序操作
在这里插入图片描述
11.修正转储,选中od刚才dump出来的程序,打开,就可以生成脱壳后的程序
在这里插入图片描述
在这里插入图片描述
12.打开dump好的123_.exe,发现能运行,用查壳工具,壳不见了(因为工具原因,peid显示还有壳,die显示没有壳了)
在这里插入图片描述
13.逆向这种东西,就是要多学会几种工具,你不能保证哪个工具一定不会出错。好了,that’s all for nspack

永川的川
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
nspack脱壳,有动画演示哦
06-01
而压缩包内的“第二十课.nSPack(北斗) 1.3-ESP快速脱之”可能是一个具体的课程或者工具,讲解如何快速地对nSPack 1.3版本的壳进行脱壳,可能涉及ESP寄存器的变化和利用,ESP寄存器在x86架构下用于存储栈指针,常常在...
手工脱壳之Nspack3.7教程
12-26
本教程主要关注的是如何手工对使用Nspack3.7保护的可执行文件进行脱壳处理。Nspack是一款著名的加壳工具,它的3.7版本以其强大的混淆能力和隐蔽性闻名,使得分析被其保护的程序变得极具挑战性。 首先,我们要理解...
NsPack3.x脱壳手记
最新发布
輚至消亡
08-04 380
完成后就可以Fix dump了, 这样就完成了对IAT表的修复, 注意这里Fix Dump后会要你选择一个exe文件, 你要选择之前通过LordPE转储下来的exe, 因为Scylla是修复转储, 那肯定是在dump文件的基础上。发现了IAT表中有0存在, 了解过PE结构的可能会知道一般IAT表中0代表结束, 也就是说NsPack3.x把IAT表给中断了, 下面进行修复。将IAT表的大小设置成一个非常大的值, 这样就会搜索很大范围内的IAT内容而忽略了IAT表中存在0造成截断的影响。接着把无效的部分删除。
005 NsPack 1.4 之附加数据初探
鬼手的博客
03-15 332
文章目录查壳OD脱壳修复导入表处理附加数据关于附加数据NO.1NO.2NO.3 查壳 拿到样本之后先查壳 发现是NsPack 后面还有个Overlay 看到这个就要警惕了 说明PE程序尾部有附加数据 OD脱壳 载入OD之后在入口点发现了pushfd和pushad 于是采用最快的脱壳 使用Ctrl+S键 查找所有命令 查找对应的两条命令 在jmp的地方下断点 F7就能到达OEP 之后du...
nSPack 手工脱壳过程
A_dmin的博客
07-05 2828
nSPack 手工脱壳过程 由于本人第一次进行手工去壳,记录一下过程~ 这篇文章以XCTF中的reverse进阶题crackme为例子 题目链接: 链接:https://pan.baidu.com/s/1qYHTb0l6-25RdyvAPinbYA 提取码:z8zf 或者:https://adworld.xctf.org.cn/task/answer?type=reverse&number...
攻防crackme(手动脱壳nspack
m0_62690279的博客
04-07 313
攻防crackme(手动脱壳nspack) 放到exeinfope查壳,是nspack 尝试进行手动脱壳 拖入od 设硬件断点 执行pushfd和pushad后,在esp的位置设置硬件断点 再按f9执行到popfd后,jmp跳到的地方即为oep dump:插件中dump 修复IAT fixdump:修复iat(针对上次dump后的文件) 最后生成一个crackme_dump_scy.exe文件,即为脱壳后的文件: 拖入ida int __cdecl main(int argc, const char *
脱壳入门(四)之nSPack3.7北斗压缩壳
w_g3366的博客
08-08 1208
脱壳入门(四)之nSPack3.7北斗压缩壳 一、寻找OEP 查壳:nSPack 3.7壳、编译器版本12.0(VS2013)、区段信息 寻找OEP 壳入口点就是pushad pushfd,可以用ESP定律脱壳,压栈完成后,esp下硬件断点 F7单步走到原程序入口点 二、Dump文件 三、修复文件 修复文件,可以成功运行,脱壳成功 ...
nSPack 手工脱壳过程-附件资源
03-02
nSPack 手工脱壳过程-附件资源
手动脱Nspack壳的分析文档
07-09
吾爱破解培训第一课作业2的分析和脱壳,主要是脱Nspack壳的过程分析。
脱壳4_nspack1
08-08
脱壳4_nspack1
NSPACK 北斗加壳工具 4.1 中文破解版
11-24
NSPACK 北斗加壳工具 4.1 中文破解版 加壳,压缩Exe文件;
Nspack
07-19
Nspack3.7破译版。
nspack2.3(北斗压缩).rar
10-13
nspack2.3(北斗压缩).rar nspack2.3(北斗压缩).rar
北斗程序压缩(NSpack)
12-10
北斗程序压缩(NSpack) 压缩特性: 能够处理32位和64位的可执行文件(exe,dll,ocx)。 可以很好的处理程序的代码、数据、资源节。 可以压缩C#.net的可执行文件。 界面更加美观漂亮,内核更加高效,兼容性更好。 压缩后的程序在网络上可减少程序的加载和下载时间。 完全支持常用压缩软件如:Upx,Aspack,Pecompact等压缩后的程序,再次进行压缩。 独有的最大压缩方式,使得程序体积变得更小。 支持目录和多文件的压缩操作。 右键压缩增加进度显示功能。 添加了兼容性压缩功能。
红黑全能自动脱壳机——非常强大的脱壳工具
08-21
红黑全能自动脱壳机 非常强大的脱壳工具 下面是它能脱的壳: upx 0.5x-3.00 aspack 1.x--2.x PEcompact 0.90--1.76 PEcompact 2.06--2.79 NsPack nPack FSG 1.0--1.3 v1.31 v1.33 v2.0 VGCrypt0.75 expressor 1.0--1.5 dxpack v0.86 v1.0 !Epack v1.0 v1.4 mew1.1 packMan 1.0 PEDiminisher 0.1 pex 0.99 petite v1.2 - v1.4 petite v2.2 petite v2.3 winkript 1.0 pklite32 1.1 pepack 0.99 - 1.0 pcshrinker 0.71 wwpack32 1.0 - 1.2 upack v0.10 - v0.32 upack v0.33 - v0.399 RLPack Basic Edition 1.11--1.18 exe32pack v1.42 kbys 0.22 0.28 morphine v1.3 morphine v1.6 morphine v2.7 yoda's protector v1.02 yoda's protector v1.03.2 yoda's crypt v1.2 yoda's crypt v1.3 EXE Stealth v2.72--v2.76 bjfnt v1.2 - v1.3 HidePE 1.0--1.1 jdpack v1.01 jdpack v2.0 jdpack v2.13 PEncrypt v3.1 PEncrypt v4.0 Stone's PE Crypt v1.13 telock v0.42 telock v0.51 telock v0.60 telock v0.70 telock v0.71 telock v0.80 telock v0.90 telock v0.92 telock v0.95 v0.96 v0.98 v0.99 ezip v1.0 hmimys-packer v1.0 jdprotect v0.9b lamecrypt UPolyX v0.51 StealthPE 1.01 StealthPE 2.2 depack 涛涛压缩器 polyene 0.01 DragonArmour EP Protector v0.3 闪电壳(expressor) BeRoEXEPacker PackItBitch 木马彩衣 mkfpack anti007 v2.5 v2.6 yzpack v1.1 v1.2 v2.0 spack_method1 v1.0 v1.1 v1.2 v1.21 spack_method2 v1.1 v1.2 v1.21 xj1001 xj1000 xj看雪测试版 xj1003 xpal4 仙剑-凄凉雪 仙剑-望海潮 mslrh0.31 v0.32 [G!X]'s Protect
Nspack3.7 Cracked by linex
Linhanshi Blog
06-01 797
FROM:http://www.unpack.cnDOWN:http://rapidshare.de/files/21909265/nspack3.7_cracked.rar.html
脱壳练习05(NSpack3.x)
weixin_45574485的博客
08-30 722
1.脱壳老规矩,第一步,查壳,可以看到该壳是NsPack(3.x)的壳。(这里给个忠告,脱壳前一定要清楚是什么壳,今天对这个脱壳的时候就闹了个笑话,最开始只知道有壳,也没仔细去看什么壳,结果修复导入表的时候,按照常规方脱,程序打开失败了,其实前面也写过一个nspack的壳脱壳,当时要是注意到这是nspack的壳,可能会少走一部分弯路) 2.第二步,用od打开程序,可以发现没有什么明显的push...
NSpack脱壳学习笔记
華山劍派首席大弟子
08-30 812
1,esp定律: 开头pushfd(然后将32位标志寄存器EFLAGS压入堆栈)和pushad(将所有的32位通用寄存器压入堆栈)发现esp发生了突变,这样就可以使用esp定律,发现到了popfd(标志寄存器出栈),发现一个大跨度的jmp//难道又和upx一样吗,这脱壳还真一个德行啊 我真傻,看到jmp oep就直接想单步进入,而不知道要先出栈,害我搞半天,为什么教程单步就能走到,为什么我
手动脱NsPacK壳实战
Fly20141201. 的专栏
07-09 2725
这里脱壳的程序是吾爱破解培训的作业2,相较于作业1稍微要强一点,但是只要掌握了脱壳ESP定律,脱这个Nspack壳并不难,不过还是蛮有意思的。 1.使用查壳软件对加壳的程序进行查壳。 使用PE Detective查壳的结果: 使用DIE查壳的结果: 2.OD载入程序进行脱壳操作 OD载入以后,被加壳程序的入口点的汇编代码,如图。很显然,加壳程序载入OD以后,发现
nspack3.7变异
07-08
nspack3.7变异是指nspack软件版本3.7的改变或变异。nspack是一种用于数据压缩的软件工具,用于将文件或数据进行压缩以节省存储空间或传输带宽。nspack3.7变异可能包括以下方面的变化: 1. 功能增强:nspack3.7的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值