本帖最后由 xi0405 于 2025-3-20 20:40 编辑
3.手脱Nspack壳
在windows11中
使用的是ESP定律(单步F7,也能到达OEP)
今天脱Nspack壳的三个版本 1.3 、2.4 、3.7
1
第一、1.3
PEID查壳
1.1
进入OD ,要注意右侧ESP(具体是什么原理我也不明白{:301_971:} ),后续就是跟着图示操作,但是需要注意 运行完了之后需要到菜单栏->调试->硬件断点,进去删掉添加的断点,不删可能会有影响后续调试。
1.2
1.2
1.2
1.2
1.2
运行后,停在这里,单步
1.3
进入OEP ,右键->用OD脱壳调试进程,进入复制
1.4
1.4
打开LoadPE ,和前几次一样,没脱成功,继续
1.5
1.5
进入ImportREC转储
1.6
1.6
1.6
1.6
1.6
点击显示无效的,但是没有任何显示,就直接修正转储
1.6
1.6
查壳
1.7
运行结果,和之前一样的,LoadPE下来的无法运行,就是那种打都打不开的 {:301_979:}
1.8
第二、2.4
PEID查壳,可以在EP段看到nsp,但是下面就无法查出
2.1
进入OD 单步,ESP定律,同上,或单步
2.2
2.2
2.2
进入OEP 右键->用OD脱壳调试进程,进入复制
2.3
2.3
打开LoadPE,同上
2.4
2.4
进入ImportREC转储
2.5
2.5
2.5
查壳
2.6
运行结果
2.7
第三、3.7
PEID查壳
3.1
进入OD ESP
3.2
3.2
进入OEP 右键->用OD脱壳调试进程,进入复制
3.3
3.3
打开LoadPE,也是没脱成,就不展示了
3.4
进入ImportREC转储,同上
3.5
查壳
3.6
运行结果
3.7
| 
[复制链接]
发表于 2025-3-20 20:35
