手脱nSPack 2.2
1.PEID查壳
深度扫描下:nSPack 2.2 -> North Star/Liu Xing Ping
2.载入OD,上来就是一个大跳转,F8单步跟下去
0040101B >- E9 jmp QQ个性网.004323A2 ; //程序入口
B4 mov ah,0x9
BA 0B01CD21 mov edx,0x21CD010B
B4 4C mov ah,0x4C
CD int 0x21
0040102B jo short QQ个性网.0040108E
0040102D 636B arpl word ptr ds:[ebx+0x65],bp
: and byte ptr fs:[edx+0x79],ah
3.大跳转的落脚点,在pushad下面的call使用ESP定律,下硬件访问断点,然后shift+F9
004323A2 9C pushfd ; //大跳转落脚点
004323A3 pushad
004323A4 E8 call QQ个性网.004323A9 ; //ESP定律
004323A9 5D pop ebp
004323AA B8 mov eax,0x7
004323AF 2BE8 sub ebp,eax
4.ESP定律的落脚点,可以看到落脚点下面一行就是一个大跳转,我们继续F8
0043261B 9D popfd ; //ESP落脚点
0043261C - E9 B3ECFCFF jmp QQ个性网.004012D4 ; //这里就是OEP
8BB5 62FEFFFF mov esi,dword ptr ss:[ebp-0x19E]
0BF6 or esi,esi
0F84 je QQ个性网.004326C6
0043262F 8B95 6AFEFFFF mov edx,dword ptr ss:[ebp-0x196]
03F2 add esi,edx
; 5.来到OEP,可以脱壳了
004012D4 push QQ个性网. ;//来到OEP
004012D9 E8 F0FFFFFF call QQ个性网.004012CE
004012DE add byte ptr ds:[eax],al
004012E0 add byte ptr ds:[eax],al
004012E2 add byte ptr ds:[eax],al
004012E4 xor byte ptr ds:[eax],al
004012E6 add byte ptr ds:[eax],al
004012E8 dec eax
004012E9 add byte ptr ds:[eax],al
004012EB add byte ptr ds:[eax],al
6.运行查壳
运行OK,查壳显示:Microsoft Visual Basic v5.0/v6.0
手脱nSPack 2.2的更多相关文章
- 手脱NsPacK壳
1.查壳 使用PEiD未能检测到壳信息,这时,我们更换其他工具 从图中可以看到壳的信息为[NsPacK(3.x)[-]] 2.百度壳信息 北斗程序压缩(Nspack)是一款压缩壳.主要的选项是:压缩资 ...
- 手脱nSPack 2.1 - 2.5
1.载入PEID 使用核心扫描出的结果 nSPack 2.1 - 2.5 -> North Star/Liu Xing Ping 2.载入OD,一进来就是一个大跳转,F8跟着走 >- E9 ...
- 手脱nSPack 1.3
1.PEID查壳 nSPack 1.3 -> North Star/Liu Xing Ping 2.载入OD,pushad下面的call哪里使用ESP定律,下硬件访问断点,然后shift+F9运 ...
- 手脱nSPack 3.7
方法一: 1. OD查壳—nSpack3.7的壳 2. 载入OD 看起来很眼熟,F8一次,然后下面就可以使用ESP定律了,使用ESP定律下断点,然后F9四次 3. F9四次后落到这个位置 接下 ...
- 简单脱壳教程笔记(2)---手脱UPX壳(1)
本笔记是针对ximo早期发的脱壳基础视频教程,整理的笔记. ximo早期发的脱壳基础视频教程 下载地址如下: http://down.52pojie.cn/%E5%90%BE%E7%88%B1%E7% ...
- 手动脱NsPacK壳实战
作者:Fly2015 这里脱壳的程序是吾爱破解培训的作业2,相较于作业1略微要强一点,可是仅仅要掌握了脱壳的ESP定律,脱这个Nspack壳并不难.只是还是蛮有意思的. 1.使用查壳软件对加壳的程序进 ...
- 手脱Aspack变形壳1
1.载入PEID Aspack v2.12 -> www.aspack.com 2.载入OD,不管是看查壳信息还是看入口特征都跟我上一次发的一个手脱Aspack v2.12的帖子相同http:/ ...
- 简单脱壳教程笔记(7)---手脱PECompact2.X壳
本笔记是针对ximo早期发的脱壳基础视频教程.整理的笔记.本笔记用到的工具下载地址: http://download.csdn.net/detail/obuyiseng/9466056 简单介绍: F ...
- 【个人笔记】ximo早期发的脱壳教程——手脱UPX壳
[个人笔记]ximo早期发的脱壳教程--手脱UPX壳 壳分为两种:压缩壳和加密壳,UPX是一种很简单的压缩壳. 手脱UPX壳: 工具:ExeinfoPE.OD 对象:rmvbfix 方法1:单 ...
随机推荐
- Python3实现机器学习经典算法(三)ID3决策树
一.ID3决策树概述 ID3决策树是另一种非常重要的用来处理分类问题的结构,它形似一个嵌套N层的IF…ELSE结构,但是它的判断标准不再是一个关系表达式,而是对应的模块的信息增益.它通过信息增益的大小 ...
- xpath获取同级元素
XPath轴(XPath Axes)可定义某个相对于当前节点的节点集: 1.child 选取当前节点的所有子元素 2.parent 选取当前节点的父节点 3.descendant 选取当前节点的所有后 ...
- USACO 1.3.3 Calf Flac(Manacher算法)
Description 据说如果你给无限只母牛和无限台巨型便携式电脑(有非常大的键盘),那么母牛们会制造出世上最棒的回文.你的工作就是去寻找这些牛制造的奇观(最棒的回文). 在寻找回文时不用理睬那些标 ...
- gitLab服务器搭建+ rundeck自动化部署
git服务器搭建 https://blog.csdn.net/gx_1_11_real/article/details/79406427 rundeck 部署 https://blog.csdn. ...
- Codeforces Beta Round #8 C. Looking for Order 状压dp
题目链接: http://codeforces.com/problemset/problem/8/C C. Looking for Order time limit per test:4 second ...
- 团队作业05——测试与发布(alpha阶段)
测试 请根据团队项目中软件的需求文档.功能说明.系统设计和测试计划,写出软件的测试过程和测试结果,并回答下述问题. 在测试过程中总共发现了多少Bug?每个类别的Bug分别为多少个? 显示计算结果超过看 ...
- windows查看端口占用指令
1.Windows平台 在windows命令行窗口下执行: 1.查看所有的端口占用情况 C:\>netstat -ano 协议 本地地址 外部地址 ...
- hdu-题目:1058 Humble Numbes
http://acm.hdu.edu.cn/showproblem.php?pid=1058 Problem Description A number whose only prime factors ...
- LoadRunner脚本增强技巧之参数化(一)
参数化的方式有两种,一种通过File引入参数值,一种通过数据库引入参数值.本篇介绍File方式引入参数值. 一.File方式参数化过程 1.在脚本中找到需要做参数化的字符串,选中,右键点击,选择Rep ...
- ZOJ3529_A Game Between Alice and Bob
题目的意思是给你若干个数字,两个游戏者轮流操作,每次可以将该数变为一个小于当前的一个约数,无法操作的游戏者fail. 和其他的博弈题目大同小异吧. 不同点有两个,逐一分析吧. 一.每次改变一个数只能改 ...