Jian丶ylt 发表于 2015-11-14 14:31

手脱nspack1.3

声明:

       1.只为纪录自己成长历程,高手勿喷
       2.您的热心是新手持续发帖的动力

1.PEID查壳

    nSPack 1.3 -> North Star/Liu Xing Ping
   
2.载入OD,pushad下面的call哪里使用ESP定律,下硬件访问断点,然后shift+F9运行

00432356 >9C            pushfd                            ; //程序入口点
00432357    60            pushad
00432358    E8 00000000   call QQ个性网.0043235D            ; //这里使用ESP
0043235D    5D            pop ebp                           
0043235E    B8 B3854000   mov eax,QQ个性网.004085B3
00432363    2D AC854000   sub eax,QQ个性网.004085AC
00432368    2BE8            sub ebp,eax                     
0043236A    8DB5 D6FEFFFF   lea esi,dword ptr ss:

3.ESP落脚点,落脚点的下一行就是一个大跳转,就是跳向OEP的,F8单步跟着跳

0043257A    9D            popfd                           ; //ESP落脚点
0043257B- E9 54EDFCFF   jmp QQ个性网.004012D4             ; //跳向OEP的大跳转
00432580    8BB5 AEFEFFFF   mov esi,dword ptr ss:
00432586    0BF6            or esi,esi
00432588    0F84 97000000   je QQ个性网.00432625

4.来到OEP,可以脱壳了

004012D4    68 54474000   push QQ个性网.00404754               ; //来到OEP
004012D9    E8 F0FFFFFF   call QQ个性网.004012CE               
004012DE    0000            add byte ptr ds:,al
004012E0    0000            add byte ptr ds:,al
004012E2    0000            add byte ptr ds:,al
004012E4    3000            xor byte ptr ds:,al
004012E6    0000            add byte ptr ds:,al
004012E8    48            dec eax   

5.查壳运行

    运行OK,查壳:Microsoft Visual Basic v5.0/v6.0






Myself_GF 发表于 2015-11-14 14:43

支持楼主。。新人看不懂{:1_937:}

chuang2015 发表于 2015-11-14 14:56

顶下   爱学习的好孩子

lvguichen 发表于 2015-11-14 18:15

谢谢分享啊······

开始的复活节 发表于 2017-4-17 23:08

楼主以后把源文件都发出来吧,我老看到你的帖子想研究下脱壳了,谢谢
页: [1]
查看完整版本: 手脱nspack1.3


免责声明:
吾爱破解所发布的一切破解补丁、注册机和注册信息及软件的解密分析文章仅限用于学习和研究目的;不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容。如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。

Mail To:Service@52pojie.cn