1.载入PEID

使用核心扫描出的结果

nSPack 2.1 - 2.5 -> North Star/Liu Xing Ping

2.载入OD,一进来就是一个大跳转,F8跟着走

 >- E9 327E0000     jmp Aspack变.0041877B              ; //程序入口点

    C7              ???

0041094A    4E              dec esi

0041094B    FFC3            inc ebx

0041094D    FFFF            ???

0041094F    EB 0A           jmp short Aspack变.0041095B

    E8 40FFFF94     call

    FD              std
 

3.走到这里,看到一个push入栈,下一行ESP定律,下硬件断点,然后shift+F9运行

0041877B          push Aspack变.

    E8 84FEFFFF     call Aspack变.             ; //ESP

                  inc ecx

    A4              movs byte ptr es:[edi],byte ptr d>

                add byte ptr ds:[eax],bl

     3C           adc al,0x3C

0041878B    38041C          cmp byte ptr ss:[esp+ebx],al
 

4.落脚后记得删除硬件断点继续F8,看到一个向上跳转,按照常规思维是向上跳转的下一行F4,但是这样会跑飞,再按照常规思维是继续F8让这个向上跳转实现,但是实现后你会发现你继续F8的时候实际上是陷入了一个循环,那么我们要做的是在这个跳转的位置下断点F2,然后shift+F9运行,像最后一次异常法一样,找到最后一次异常。是第57次,58次就跑飞了

0041861B    89E5            mov ebp,esp                       ; //ESP落脚点

0041861D    81EC C0000000   sub esp,0xC0

    89E7            mov edi,esp

              add esi,dword ptr ss:[ebp]

    8A06            mov al,byte ptr ds:[esi]

0041862A                  inc esi                           ; Aspack变.

0041862B    0FB6C0          movzx eax,al

0041862E  ^ FF2485 2B814100 jmp dword ptr ds:[eax*+0x41812B] ; //下一行会跑飞

    :8B45       mov ax,word ptr ss:[ebp]
 

5.shift+F9运行57次后取消断点,然后F8一次就落到了这里,你会发现,原先跟上去的时候会陷入的循环,现在没有了,然后继续F8

004185FC    89EC            mov esp,ebp                       ; //落脚点

004185FE    5A              pop edx

004185FF    5A              pop edx

    5D              pop ebp

                  pop ecx

    9D              popfd

                  pop eax
 

6.F8走到这里的时候,我们发现一个pushad,可以使用ESP定律了,下硬件断点,然后shift+F9运行

00410B19    9C              pushfd

00410B1A                  pushad

00410B1B    E8      call Aspack变.00410B20             ; //ESP

00410B20    5D              pop ebp

00410B21    81ED DC010000   sub ebp,0x1DC

00410B27  ^ E9 34FEFFFF     jmp Aspack变.
 

7.ESP落脚点,删除硬件断点,然后继续F8

00410B7C    9D              popfd                             ; //落脚点

00410B7D    EB 4E           jmp short Aspack变.00410BCD

00410B7F    F4              hlt

00410B80    FD              std

00410B81    FFFF            ???

00410B83    8BDD            mov ebx,ebp

00410B85    81EB    sub ebx,0x8
 

8.经过几次F8之后倒了这里,这个就是指向OEP的关键跳了,F8一下

00410BCD  - E9 EE16FFFF     jmp Aspack变.004022C0              ; //指向OEP的关键跳

00410BD2    8BB5 48FDFFFF   mov esi,dword ptr ss:[ebp-0x2B8]

00410BD8    0BF6            or esi,esi

00410BDA    0F84    je Aspack变.00410C77

00410BE0    8B95 50FDFFFF   mov edx,dword ptr ss:[ebp-0x2B0]

00410BE6    03F2            add esi,edx      
 

9.来到OEP,可以脱壳了,需要注意的是,脱壳后需要使用LoadPE重建PE表才能正常运行

004022C0    E8 970B0000     call Aspack变.00402E5C             ; //OEP

004022C5    E8 C60A0000     call Aspack变.00402D90

004022CA    8BF0            mov esi,eax

004022CC    6A            push 0x0

004022CE     B3534000     push Aspack变.004053B3

004022D3                  push esi

004022D4    E8 570D0000     call Aspack变.

004022D9    A2 F7594000     mov byte ptr ds:[0x4059F7],al

004022DE    6A            push 0x0

004022E0     BA534000     push Aspack变.004053BA

10.运行,查壳

运行OK,查壳:TASM / MASM (312 ms)

手脱nSPack 2.1 - 2.5的更多相关文章

  1. 手脱NsPacK壳

    1.查壳 使用PEiD未能检测到壳信息,这时,我们更换其他工具 从图中可以看到壳的信息为[NsPacK(3.x)[-]] 2.百度壳信息 北斗程序压缩(Nspack)是一款压缩壳.主要的选项是:压缩资 ...

  2. 手脱nSPack 1.3

    1.PEID查壳 nSPack 1.3 -> North Star/Liu Xing Ping 2.载入OD,pushad下面的call哪里使用ESP定律,下硬件访问断点,然后shift+F9运 ...

  3. 手脱nSPack 2.2

    1.PEID查壳 深度扫描下:nSPack 2.2 -> North Star/Liu Xing Ping 2.载入OD,上来就是一个大跳转,F8单步跟下去 0040101B >- E9 ...

  4. 手脱nSPack 3.7

    方法一: 1.   OD查壳—nSpack3.7的壳 2. 载入OD 看起来很眼熟,F8一次,然后下面就可以使用ESP定律了,使用ESP定律下断点,然后F9四次 3.   F9四次后落到这个位置 接下 ...

  5. 简单脱壳教程笔记(2)---手脱UPX壳(1)

    本笔记是针对ximo早期发的脱壳基础视频教程,整理的笔记. ximo早期发的脱壳基础视频教程 下载地址如下: http://down.52pojie.cn/%E5%90%BE%E7%88%B1%E7% ...

  6. 手动脱NsPacK壳实战

    作者:Fly2015 这里脱壳的程序是吾爱破解培训的作业2,相较于作业1略微要强一点,可是仅仅要掌握了脱壳的ESP定律,脱这个Nspack壳并不难.只是还是蛮有意思的. 1.使用查壳软件对加壳的程序进 ...

  7. 手脱Aspack变形壳1

    1.载入PEID Aspack v2.12 -> www.aspack.com 2.载入OD,不管是看查壳信息还是看入口特征都跟我上一次发的一个手脱Aspack v2.12的帖子相同http:/ ...

  8. 简单脱壳教程笔记(7)---手脱PECompact2.X壳

    本笔记是针对ximo早期发的脱壳基础视频教程.整理的笔记.本笔记用到的工具下载地址: http://download.csdn.net/detail/obuyiseng/9466056 简单介绍: F ...

  9. 【个人笔记】ximo早期发的脱壳教程——手脱UPX壳

    [个人笔记]ximo早期发的脱壳教程--手脱UPX壳   壳分为两种:压缩壳和加密壳,UPX是一种很简单的压缩壳.   手脱UPX壳: 工具:ExeinfoPE.OD 对象:rmvbfix 方法1:单 ...

随机推荐

  1. 从零开始的Python学习Episode 9——集合

    集合 集合是一个无序的,不重复的数据组合,是python基本的数据类型,把不同的元素组成一起就形成集合. 一.创建集合 s = set('smile')list = ['1','2','3']prin ...

  2. loadrunner处理https请求

    录制到的脚本如下: login() { lr_think_time(10); web_url("verifycode.jsp", "URL=https://192.168 ...

  3. python单元测试之参数化

    paramunittest下载地址:https://pypi.python.org/pypi/ParamUnittest/ 当然我们也可以通过pip install paramunittest方式进行 ...

  4. 配置EditPlus编辑器使其成为Python的编辑、执行环境

    1.添加Python群组 运行EditPlus,选择工具→配置用户工具进入参数设置框. 单击添加工具→应用程序.菜单文字输入python,命令为Python的安装路径,参数输入 $(FileName) ...

  5. 软工实践-Alpha 冲刺 (6/10)

    队名:起床一起肝活队 组长博客:博客链接 作业博客:班级博客本次作业的链接 组员情况 组员1(队长):白晨曦 过去两天完成了哪些任务 描述: 已经解决登录注册等基本功能的界面. 完成了主界面的基本布局 ...

  6. struts2--文件上传大小

    Struts2文件上传的大小限制问题 问题:上传大文件报错-- 解决:修改struts.xml文件中的参数如下 <constant name="struts.multipart.max ...

  7. 测试bug

    模板在运行时出现了以下 1 个错误:---------------------------Controller.tt(-1,-1) : error : 获取 AppDomain 以便从主机运行转换时出 ...

  8. lintcode-248-统计比给定整数小的数的个数

    248-统计比给定整数小的数的个数 给定一个整数数组 (下标由 0 到 n-1,其中 n 表示数组的规模,数值范围由 0 到 10000),以及一个 查询列表.对于每一个查询,将会给你一个整数,请你返 ...

  9. MySQL 基于lvm2的备份实战演练 (快照备份)

    前言: lvm2实现热备的原理是基于lvm2的快照功能,lvm2可以实现数据集不大的情况下的热备. 实战过程如下:这里的演示是在一台Mariadb服务器上进行创建快照,将快照中的文件scp到备份服务器 ...

  10. C 语言疑难杂症 [转:http://blog.chinaunix.net/uid-20688544-id-1894880.html]

    无聊在网上找了些C语言的东东练一下手,竟然发现其实还有好多细节之前,没注意到,该好好复习一下先. 解决掉的问题先不发出来,把疑问的先做个笔记,过几天解决了就回来修改补上.   #include < ...