菜鸟起步三 手脱NSPACK(北斗)
本帖最后由 658 于 2011-1-24 20:45 编辑先提个问题 纠结了好几天了
找到OEP入口后 F8单步 之后出现了……
无奈。。。。脱壳的时候 好几程序都出现这样的情况 我蛋疼了……
基础脱壳教程3:手脱NSPACK(北斗)
工具:PEID OD
原教程下载地址:http://www.rayfile.com/zh-cn/files/31265505-320e-11de-be73-0019d11a795f/
nSPack 1.3 -> North Star/Liu Xing Pinghttp://dl.dbank.com/c0lo4smi8u
QQ个性网名昵称查看器1.3
进入后pushfd pushad (对应popfd pushad)
F8单步到call
ESP突变 ESP定律法
在寄存器窗口 右击ESP 在数据窗口跟随
数据窗口 右击 断点 设置硬件断点 word/Dword 运行 调试选项 硬件断点(H) 删除
popad
popfd(出寨)
地址 0043257A 跳到 004012D4 大跨度跳转 找到 OEP
继续F8 到达OEP 脱壳 (OD插件 LoadEP)
基址00400000
距离头比较近的CALL F7跟进
内存中没有.rsrc 根据PE知识点 PE是从上向下解压 直接在00401000下断 F2
F9 出现OEP 接着脱壳
取巧 NSPACK<3.0
直接下断点at GetVersion(得到版本号)回车 在retn出下断点 F2运行F2向上 在retn下面 看到OEP
NsPacK V3.7 -> LiuXingPing *
Peid
什么也没发现 EP区段 nsp直接OD载入 分析
没错啊。这个跟你那个ASPACK是一样的,到这里就是OEP,右键->分析->从模块中删除分析就行了, 回复 zone0826 的帖子
嗯 谢谢呀 可以啦 http://www.52pojie.cn/forum.php?mod=attachment&aid=NTc4ODh8OGQxYjVlODN8MTI5NTk0OTMyNnwxMDc1ODM%3D&noupdate=yes
出现这种?
右键分析代码就可以了。。。 分析错了,重新分析下代码即可 非常不错的脱壳教程 不错感谢楼主分享 {:1_921:} 谢谢 非常不错
页:
[1]