1.PEID查壳

深度扫描下:nSPack 2.2 -> North Star/Liu Xing Ping

2.载入OD,上来就是一个大跳转,F8单步跟下去

0040101B >- E9      jmp QQ个性网.004323A2                ; //程序入口

    B4            mov ah,0x9

    BA 0B01CD21     mov edx,0x21CD010B

    B4 4C           mov ah,0x4C

    CD            int 0x21

0040102B                jo short QQ个性网.0040108E

0040102D    636B          arpl word ptr ds:[ebx+0x65],bp

    :       and byte ptr fs:[edx+0x79],ah
 

3.大跳转的落脚点,在pushad下面的call使用ESP定律,下硬件访问断点,然后shift+F9

004323A2    9C              pushfd                            ; //大跳转落脚点

004323A3                  pushad

004323A4    E8      call QQ个性网.004323A9               ; //ESP定律

004323A9    5D              pop ebp

004323AA    B8      mov eax,0x7

004323AF    2BE8            sub ebp,eax

4.ESP定律的落脚点,可以看到落脚点下面一行就是一个大跳转,我们继续F8

0043261B    9D              popfd                             ; //ESP落脚点

0043261C  - E9 B3ECFCFF     jmp QQ个性网.004012D4            ; //这里就是OEP

    8BB5 62FEFFFF   mov esi,dword ptr ss:[ebp-0x19E]

    0BF6            or esi,esi

    0F84    je QQ个性网.004326C6

0043262F    8B95 6AFEFFFF   mov edx,dword ptr ss:[ebp-0x196]

    03F2            add esi,edx     
                  ;

5.来到OEP,可以脱壳了

004012D4          push QQ个性网.             ;//来到OEP

004012D9    E8 F0FFFFFF     call QQ个性网.004012CE

004012DE                add byte ptr ds:[eax],al

004012E0                add byte ptr ds:[eax],al

004012E2                add byte ptr ds:[eax],al

004012E4                xor byte ptr ds:[eax],al

004012E6                add byte ptr ds:[eax],al

004012E8                  dec eax

004012E9                add byte ptr ds:[eax],al

004012EB                add byte ptr ds:[eax],al

6.运行查壳

运行OK,查壳显示:Microsoft Visual Basic v5.0/v6.0

手脱nSPack 2.2的更多相关文章

  1. 手脱NsPacK壳

    1.查壳 使用PEiD未能检测到壳信息,这时,我们更换其他工具 从图中可以看到壳的信息为[NsPacK(3.x)[-]] 2.百度壳信息 北斗程序压缩(Nspack)是一款压缩壳.主要的选项是:压缩资 ...

  2. 手脱nSPack 2.1 - 2.5

    1.载入PEID 使用核心扫描出的结果 nSPack 2.1 - 2.5 -> North Star/Liu Xing Ping 2.载入OD,一进来就是一个大跳转,F8跟着走 >- E9 ...

  3. 手脱nSPack 1.3

    1.PEID查壳 nSPack 1.3 -> North Star/Liu Xing Ping 2.载入OD,pushad下面的call哪里使用ESP定律,下硬件访问断点,然后shift+F9运 ...

  4. 手脱nSPack 3.7

    方法一: 1.   OD查壳—nSpack3.7的壳 2. 载入OD 看起来很眼熟,F8一次,然后下面就可以使用ESP定律了,使用ESP定律下断点,然后F9四次 3.   F9四次后落到这个位置 接下 ...

  5. 简单脱壳教程笔记(2)---手脱UPX壳(1)

    本笔记是针对ximo早期发的脱壳基础视频教程,整理的笔记. ximo早期发的脱壳基础视频教程 下载地址如下: http://down.52pojie.cn/%E5%90%BE%E7%88%B1%E7% ...

  6. 手动脱NsPacK壳实战

    作者:Fly2015 这里脱壳的程序是吾爱破解培训的作业2,相较于作业1略微要强一点,可是仅仅要掌握了脱壳的ESP定律,脱这个Nspack壳并不难.只是还是蛮有意思的. 1.使用查壳软件对加壳的程序进 ...

  7. 手脱Aspack变形壳1

    1.载入PEID Aspack v2.12 -> www.aspack.com 2.载入OD,不管是看查壳信息还是看入口特征都跟我上一次发的一个手脱Aspack v2.12的帖子相同http:/ ...

  8. 简单脱壳教程笔记(7)---手脱PECompact2.X壳

    本笔记是针对ximo早期发的脱壳基础视频教程.整理的笔记.本笔记用到的工具下载地址: http://download.csdn.net/detail/obuyiseng/9466056 简单介绍: F ...

  9. 【个人笔记】ximo早期发的脱壳教程——手脱UPX壳

    [个人笔记]ximo早期发的脱壳教程--手脱UPX壳   壳分为两种:压缩壳和加密壳,UPX是一种很简单的压缩壳.   手脱UPX壳: 工具:ExeinfoPE.OD 对象:rmvbfix 方法1:单 ...

随机推荐

  1. SST:Single-Stream Temporal Action Proposals论文笔记

    SST:Single-Stream Temporal Action Proposals 这是本仙女认认真真读完且把算法全部读懂(其实也不是非常懂)的第一篇论文 CVPR2017 一作 论文写作的动机m ...

  2. mysql 转换13位数字毫秒时间

    MySQL毫秒值和日期转换,MYSQL内置函数FROM_UNIXTIME: select FROM_UNIXTIME(t.createDate/1000,'%Y-%m-%d %h:%i:%s') as ...

  3. Xftp安装和使用的视频录制方法

    内容: 1.使用工具 2.操作步骤及方法 视频地址: http://v.youku.com/v_show/id_XMzEwNjg2MTg2NA==.html?spm=a2h3j.8428770.341 ...

  4. Python:生成器的简单理解

    一.什么是生成器 在Python中,由于受到内存的限制,列表容量肯定是有限的.例如我们创建一个包含一亿个元素的列表,Python首先会在内存中开辟足够的空间来存储这个包含一亿个元素的列表,然后才允许用 ...

  5. Eclipse项目导入到Android Studio中

    背景 最近需要将Eclipse中的android项目导入到Android Studio中!倒腾一番,记录如下! 步骤1 打开Android Studio(下文称AS),选择Import project ...

  6. RovingUI组件库-包含堆栈式通知提醒框(Toast)的小程序组件库

    RovingUI是个人在开发小程序过程中将用到的组件集合而成的一个UI库,包含一些基本通用组件(按钮.栅格.通用样式.徽标.通知和面包屑). 源起得归于我在开发中没有找到现成的堆栈式提醒框(比如ant ...

  7. scala程序运行的几种方式

    HelloWorld简单实例 object HelloWorld{ def main(args:Array[String]){ println("HelloWorld") } } ...

  8. 1104 文法产生这段C程序的推导过程

  9. zookeeper学习之集群环境搭建

    一.安装环境 zookeeper:3.4.6 JDK:1.8 linux:centos6.5  64位 主机: server0:192.168.0.224server1:192.168.0.225se ...

  10. TCP建立连接与释放连接过程中的几个问题

    TCP为何采用三次握手来建立连接,若采用两次握手可以吗,请说明理由? 不可以.采用三次握手是为了防止失效的连接请求报文段突然又传送到服务器,从而发生错误.当客户端发出的连接请求报文段由于某些原因没有及 ...