1.载入PEID

使用核心扫描出的结果

nSPack 2.1 - 2.5 -> North Star/Liu Xing Ping

2.载入OD,一进来就是一个大跳转,F8跟着走

 >- E9 327E0000     jmp Aspack变.0041877B              ; //程序入口点

    C7              ???

0041094A    4E              dec esi

0041094B    FFC3            inc ebx

0041094D    FFFF            ???

0041094F    EB 0A           jmp short Aspack变.0041095B

    E8 40FFFF94     call

    FD              std
 

3.走到这里,看到一个push入栈,下一行ESP定律,下硬件断点,然后shift+F9运行

0041877B          push Aspack变.

    E8 84FEFFFF     call Aspack变.             ; //ESP

                  inc ecx

    A4              movs byte ptr es:[edi],byte ptr d>

                add byte ptr ds:[eax],bl

     3C           adc al,0x3C

0041878B    38041C          cmp byte ptr ss:[esp+ebx],al
 

4.落脚后记得删除硬件断点继续F8,看到一个向上跳转,按照常规思维是向上跳转的下一行F4,但是这样会跑飞,再按照常规思维是继续F8让这个向上跳转实现,但是实现后你会发现你继续F8的时候实际上是陷入了一个循环,那么我们要做的是在这个跳转的位置下断点F2,然后shift+F9运行,像最后一次异常法一样,找到最后一次异常。是第57次,58次就跑飞了

0041861B    89E5            mov ebp,esp                       ; //ESP落脚点

0041861D    81EC C0000000   sub esp,0xC0

    89E7            mov edi,esp

              add esi,dword ptr ss:[ebp]

    8A06            mov al,byte ptr ds:[esi]

0041862A                  inc esi                           ; Aspack变.

0041862B    0FB6C0          movzx eax,al

0041862E  ^ FF2485 2B814100 jmp dword ptr ds:[eax*+0x41812B] ; //下一行会跑飞

    :8B45       mov ax,word ptr ss:[ebp]
 

5.shift+F9运行57次后取消断点,然后F8一次就落到了这里,你会发现,原先跟上去的时候会陷入的循环,现在没有了,然后继续F8

004185FC    89EC            mov esp,ebp                       ; //落脚点

004185FE    5A              pop edx

004185FF    5A              pop edx

    5D              pop ebp

                  pop ecx

    9D              popfd

                  pop eax
 

6.F8走到这里的时候,我们发现一个pushad,可以使用ESP定律了,下硬件断点,然后shift+F9运行

00410B19    9C              pushfd

00410B1A                  pushad

00410B1B    E8      call Aspack变.00410B20             ; //ESP

00410B20    5D              pop ebp

00410B21    81ED DC010000   sub ebp,0x1DC

00410B27  ^ E9 34FEFFFF     jmp Aspack变.
 

7.ESP落脚点,删除硬件断点,然后继续F8

00410B7C    9D              popfd                             ; //落脚点

00410B7D    EB 4E           jmp short Aspack变.00410BCD

00410B7F    F4              hlt

00410B80    FD              std

00410B81    FFFF            ???

00410B83    8BDD            mov ebx,ebp

00410B85    81EB    sub ebx,0x8
 

8.经过几次F8之后倒了这里,这个就是指向OEP的关键跳了,F8一下

00410BCD  - E9 EE16FFFF     jmp Aspack变.004022C0              ; //指向OEP的关键跳

00410BD2    8BB5 48FDFFFF   mov esi,dword ptr ss:[ebp-0x2B8]

00410BD8    0BF6            or esi,esi

00410BDA    0F84    je Aspack变.00410C77

00410BE0    8B95 50FDFFFF   mov edx,dword ptr ss:[ebp-0x2B0]

00410BE6    03F2            add esi,edx      
 

9.来到OEP,可以脱壳了,需要注意的是,脱壳后需要使用LoadPE重建PE表才能正常运行

004022C0    E8 970B0000     call Aspack变.00402E5C             ; //OEP

004022C5    E8 C60A0000     call Aspack变.00402D90

004022CA    8BF0            mov esi,eax

004022CC    6A            push 0x0

004022CE     B3534000     push Aspack变.004053B3

004022D3                  push esi

004022D4    E8 570D0000     call Aspack变.

004022D9    A2 F7594000     mov byte ptr ds:[0x4059F7],al

004022DE    6A            push 0x0

004022E0     BA534000     push Aspack变.004053BA

10.运行,查壳

运行OK,查壳:TASM / MASM (312 ms)

手脱nSPack 2.1 - 2.5的更多相关文章

  1. 手脱NsPacK壳

    1.查壳 使用PEiD未能检测到壳信息,这时,我们更换其他工具 从图中可以看到壳的信息为[NsPacK(3.x)[-]] 2.百度壳信息 北斗程序压缩(Nspack)是一款压缩壳.主要的选项是:压缩资 ...

  2. 手脱nSPack 1.3

    1.PEID查壳 nSPack 1.3 -> North Star/Liu Xing Ping 2.载入OD,pushad下面的call哪里使用ESP定律,下硬件访问断点,然后shift+F9运 ...

  3. 手脱nSPack 2.2

    1.PEID查壳 深度扫描下:nSPack 2.2 -> North Star/Liu Xing Ping 2.载入OD,上来就是一个大跳转,F8单步跟下去 0040101B >- E9 ...

  4. 手脱nSPack 3.7

    方法一: 1.   OD查壳—nSpack3.7的壳 2. 载入OD 看起来很眼熟,F8一次,然后下面就可以使用ESP定律了,使用ESP定律下断点,然后F9四次 3.   F9四次后落到这个位置 接下 ...

  5. 简单脱壳教程笔记(2)---手脱UPX壳(1)

    本笔记是针对ximo早期发的脱壳基础视频教程,整理的笔记. ximo早期发的脱壳基础视频教程 下载地址如下: http://down.52pojie.cn/%E5%90%BE%E7%88%B1%E7% ...

  6. 手动脱NsPacK壳实战

    作者:Fly2015 这里脱壳的程序是吾爱破解培训的作业2,相较于作业1略微要强一点,可是仅仅要掌握了脱壳的ESP定律,脱这个Nspack壳并不难.只是还是蛮有意思的. 1.使用查壳软件对加壳的程序进 ...

  7. 手脱Aspack变形壳1

    1.载入PEID Aspack v2.12 -> www.aspack.com 2.载入OD,不管是看查壳信息还是看入口特征都跟我上一次发的一个手脱Aspack v2.12的帖子相同http:/ ...

  8. 简单脱壳教程笔记(7)---手脱PECompact2.X壳

    本笔记是针对ximo早期发的脱壳基础视频教程.整理的笔记.本笔记用到的工具下载地址: http://download.csdn.net/detail/obuyiseng/9466056 简单介绍: F ...

  9. 【个人笔记】ximo早期发的脱壳教程——手脱UPX壳

    [个人笔记]ximo早期发的脱壳教程--手脱UPX壳   壳分为两种:压缩壳和加密壳,UPX是一种很简单的压缩壳.   手脱UPX壳: 工具:ExeinfoPE.OD 对象:rmvbfix 方法1:单 ...

随机推荐

  1. IncDec序列:差分+贪心

    IncDec序列 题目描述: 给定一个长度为 n 的数列 a1,a2,…,an,每次可以选择一个区间[l,r],使下标在这个区间内的数都加一或者都减一. 求至少需要多少次操作才能使数列中的所有数都一样 ...

  2. 第1章 Python基础

    一.安装Python windows: 1.下载安装包     https://www.python.org/downloads/ 2.安装     默认安装路径:C:\python27 3.配置环境 ...

  3. 互评Alpha版本——杨老师粉丝群——Pinball

    一.基于NABCD评论作品,及改进建议 1.根据(不限于)NABCD评论作品的选题 (1)N(Need,需求) 成语学习对除汉语言专业外的大学生的需求并不是很高,初中生和高中生因为在升学时需要参加语文 ...

  4. JNDI和JDBC

    没有JNDI的做法:程序员开发时,知道要开发访问MySQL数据库的应用,于是将一个对 MySQL JDBC 驱动程序类的引用进行了编码,并通过使用适当的 JDBC URL 连接到数据库.就像以下代码这 ...

  5. 0325 实验一操作系统模拟cmd

    实验一.命令解释程序的编写 专业:商软(2)班   姓名:韩麒麟 学号:201406114253 一. 实验目的 (1)掌握命令解释程序的原理: (2)掌握简单的DOS调用方法: (3)掌握C语言编程 ...

  6. 写在SVM之前——凸优化与对偶问题

    SVM之问题形式化 SVM之对偶问题 SVM之核函数 SVM之解决线性不可分 >>>写在SVM之前——凸优化与对偶问题 本篇是写在SVM之前的关于优化问题的一点知识,在SVM中会用到 ...

  7. Qt程序打包,自动拷贝依赖文件

    版权声明:若无来源注明,Techie亮博客文章均为原创. 转载请以链接形式标明本文标题和地址: 本文标题:Qt程序打包,自动拷贝依赖文件     本文地址:http://techieliang.com ...

  8. 数据库引擎InnoDB和MyISAM区别

    MyISAM是MySQL的默认数据库引擎(5.5版之前),由早期的ISAM(Indexed Sequential Access Method:有索引的顺序访问方法)所改良.虽然性能极佳,但却有一个缺点 ...

  9. 【C++】new和delete表达式与内存管理

    new和delete表达式可以用来动态创建和释放单个对象,也可以用来动态创建和释放动态数组. 定义变量时,必须指定其数据类型和名字.而动态创建对象时,只需指定其数据类型,而不必为该对象命名.new表达 ...

  10. 内存测试——Android Studio自带内存检测功能

    AndroidStudio 自带 CPU 和内存检测工具,绘制出变化图,可以直观明了的看出内存和cpu的变化曲线. 手机连接电脑,选择要调试的手机,选择要检测的应用进程,Memory是内存监控,CPU ...