The018. 初探脱壳,nSPack壳 [附加数据]
本帖最后由 chuiyan121 于 2022-1-15 23:07 编辑The018. 初探脱壳,nSPack壳 [附加数据]
关于脱壳的记录,已有大牛教科书式帖文了,我就按照自己的习惯记录下来,如有疑问欢迎交流指正。^_^
1、PEiD查壳,nSPack 1.3 -> North Star/Liu Xing Ping
https://s4.ax1x.com/2022/01/15/7YrfY9.png
2、OD载入,ESP定律法,到达下图OEP跳转点。
https://s4.ax1x.com/2022/01/15/7YryLT.png
F8跟进,到达OEP。
https://s4.ax1x.com/2022/01/15/7YrsyV.png
3、LordPE修正镜像大小,完整转存,ImportREC修复,没有无效指针。查询无壳,但程序不能运行。
提示:文件中存在无效数据!
https://s4.ax1x.com/2022/01/15/7Yr2o4.png
解决原理:将原程序里的附加数据用HEX Workshop(十六进制编辑工具)复制到脱壳后的程序中。
解决方法:HEX Workshop加载原程序,滚动条拖动到最后,然后往上翻页,直到出现都是0000的数据停止。从不为0000的数据开始一直到末尾全部复制。
https://s4.ax1x.com/2022/01/15/7YrceU.png
HEX Workshop打开已脱壳的程序并拖动到末尾,粘贴复制的附加数据。
https://s4.ax1x.com/2022/01/15/7YrgwF.png
粘贴完附加数据后,另存为exe文件。查询无壳,程序正常运行。
https://s4.ax1x.com/2022/01/15/7YrWFJ.png
谢谢分享 感谢楼主一直在做脱壳的系列,楼主能否将这个系列的示例程序CM也一起分享出来,新手也好根据教程练练手。 16、脱ACProtect132(无Stolen Code),大佬视频中的od隐藏怎么搞,吾爱的好像没有,用那个最后一次异常法,我运行一次地址直接到7开头的,视频中的运行一次是到4开头的地址 cqsn558 发表于 2022-1-17 07:31
感谢楼主一直在做脱壳的系列,楼主能否将这个系列的示例程序CM也一起分享出来,新手也好根据教程练练手。
感谢关注!
我这个学习记录是对应着ximo大牛的视频教程来的。
下面是爱盘的ximo教程下载地址,有视频和被试程序,你可以直接下载学习。
https://down.52pojie.cn/吾爱破解视频教程/ximo脱壳基础.7z 本帖最后由 chuiyan121 于 2022-1-17 12:59 编辑
陈先森9944 发表于 2022-1-17 11:20
16、脱ACProtect132(无Stolen Code),大佬视频中的od隐藏怎么搞,吾爱的好像没有,用那个最后一次异常法, ...
我的记录还没写到ACProtect,写到了请关注{:1_918:}
对了,你提到的最后一次异常断不下来的问题,首先异常设置是否都取消了勾选,插件StrongOD里的Option下,Skip Some Excetion选项的勾去掉,最后看看是否有硬件断点等各种断点没有去掉。一般就是这几种情况,试试看。
页:
[1]