1.PEID查壳

深度扫描下:nSPack 2.2 -> North Star/Liu Xing Ping

2.载入OD,上来就是一个大跳转,F8单步跟下去

0040101B >- E9      jmp QQ个性网.004323A2                ; //程序入口

    B4            mov ah,0x9

    BA 0B01CD21     mov edx,0x21CD010B

    B4 4C           mov ah,0x4C

    CD            int 0x21

0040102B                jo short QQ个性网.0040108E

0040102D    636B          arpl word ptr ds:[ebx+0x65],bp

    :       and byte ptr fs:[edx+0x79],ah
 

3.大跳转的落脚点,在pushad下面的call使用ESP定律,下硬件访问断点,然后shift+F9

004323A2    9C              pushfd                            ; //大跳转落脚点

004323A3                  pushad

004323A4    E8      call QQ个性网.004323A9               ; //ESP定律

004323A9    5D              pop ebp

004323AA    B8      mov eax,0x7

004323AF    2BE8            sub ebp,eax

4.ESP定律的落脚点,可以看到落脚点下面一行就是一个大跳转,我们继续F8

0043261B    9D              popfd                             ; //ESP落脚点

0043261C  - E9 B3ECFCFF     jmp QQ个性网.004012D4            ; //这里就是OEP

    8BB5 62FEFFFF   mov esi,dword ptr ss:[ebp-0x19E]

    0BF6            or esi,esi

    0F84    je QQ个性网.004326C6

0043262F    8B95 6AFEFFFF   mov edx,dword ptr ss:[ebp-0x196]

    03F2            add esi,edx     
                  ;

5.来到OEP,可以脱壳了

004012D4          push QQ个性网.             ;//来到OEP

004012D9    E8 F0FFFFFF     call QQ个性网.004012CE

004012DE                add byte ptr ds:[eax],al

004012E0                add byte ptr ds:[eax],al

004012E2                add byte ptr ds:[eax],al

004012E4                xor byte ptr ds:[eax],al

004012E6                add byte ptr ds:[eax],al

004012E8                  dec eax

004012E9                add byte ptr ds:[eax],al

004012EB                add byte ptr ds:[eax],al

6.运行查壳

运行OK,查壳显示:Microsoft Visual Basic v5.0/v6.0

手脱nSPack 2.2的更多相关文章

  1. 手脱NsPacK壳

    1.查壳 使用PEiD未能检测到壳信息,这时,我们更换其他工具 从图中可以看到壳的信息为[NsPacK(3.x)[-]] 2.百度壳信息 北斗程序压缩(Nspack)是一款压缩壳.主要的选项是:压缩资 ...

  2. 手脱nSPack 2.1 - 2.5

    1.载入PEID 使用核心扫描出的结果 nSPack 2.1 - 2.5 -> North Star/Liu Xing Ping 2.载入OD,一进来就是一个大跳转,F8跟着走 >- E9 ...

  3. 手脱nSPack 1.3

    1.PEID查壳 nSPack 1.3 -> North Star/Liu Xing Ping 2.载入OD,pushad下面的call哪里使用ESP定律,下硬件访问断点,然后shift+F9运 ...

  4. 手脱nSPack 3.7

    方法一: 1.   OD查壳—nSpack3.7的壳 2. 载入OD 看起来很眼熟,F8一次,然后下面就可以使用ESP定律了,使用ESP定律下断点,然后F9四次 3.   F9四次后落到这个位置 接下 ...

  5. 简单脱壳教程笔记(2)---手脱UPX壳(1)

    本笔记是针对ximo早期发的脱壳基础视频教程,整理的笔记. ximo早期发的脱壳基础视频教程 下载地址如下: http://down.52pojie.cn/%E5%90%BE%E7%88%B1%E7% ...

  6. 手动脱NsPacK壳实战

    作者:Fly2015 这里脱壳的程序是吾爱破解培训的作业2,相较于作业1略微要强一点,可是仅仅要掌握了脱壳的ESP定律,脱这个Nspack壳并不难.只是还是蛮有意思的. 1.使用查壳软件对加壳的程序进 ...

  7. 手脱Aspack变形壳1

    1.载入PEID Aspack v2.12 -> www.aspack.com 2.载入OD,不管是看查壳信息还是看入口特征都跟我上一次发的一个手脱Aspack v2.12的帖子相同http:/ ...

  8. 简单脱壳教程笔记(7)---手脱PECompact2.X壳

    本笔记是针对ximo早期发的脱壳基础视频教程.整理的笔记.本笔记用到的工具下载地址: http://download.csdn.net/detail/obuyiseng/9466056 简单介绍: F ...

  9. 【个人笔记】ximo早期发的脱壳教程——手脱UPX壳

    [个人笔记]ximo早期发的脱壳教程--手脱UPX壳   壳分为两种:压缩壳和加密壳,UPX是一种很简单的压缩壳.   手脱UPX壳: 工具:ExeinfoPE.OD 对象:rmvbfix 方法1:单 ...

随机推荐

  1. 解决登录linux输入密码问题

    1.使用密钥 ssh-keyssh -i .ssh/*.key root@<ip_addr> 2.使用sshpass 安装 rpm 包:yum install sshpass 配置文件: ...

  2. hashlib模块使用详情

    python常用模块目录 一:hashlib简介 1.什么叫hash:hash是一种算法(不同的hash算法只是复杂度不一样)(3.x里代替了md5模块和sha模块,主要提供 SHA1, SHA224 ...

  3. 1.openldap介绍

    1.openldap介绍 OpenLDAP是轻型目录访问协议(Lightweight Directory Access Protocol,LDAP)的自由和开源的实现,在其OpenLDAP许可证下发行 ...

  4. 曾经我是一个只会excel的数据分析师,直到我遇到了……

    我是一个数据分析师. 准确来说我是一个当年只会excel数据透视表,就天不怕地不怕地来当数据分析师的人.当年的某一天,我的老板Q我: 小刘啊,我小姨子给了我一个全国市委书记的名单,你帮我看看,有什么规 ...

  5. POJ 3784 Running Median(动态维护中位数)

    Description For this problem, you will write a program that reads in a sequence of 32-bit signed int ...

  6. 软工第十二周个人PSP

    11.30--12.6本周例行报告 1.PSP(personal software process )个人软件过程. C(类别) C(内容) ST(开始时间) ET(结束时间) INT(间隔时间) Δ ...

  7. “Hello World!团队”Beta发布—视频链接+文案+美工

    视频链接:http://v.youku.com/v_show/id_XMzE3MjEyMzkyMA==.html?spm=a2h3j.8428770.3416059.1 文案+美工:http://ww ...

  8. <<世界是数字的>>读书笔记

    <世界是数字的>这本书是大学职业规划老师介绍个我读的,从着本中我学到了很多. 第一章,计算机里有什么.这个问题可以从两方面来看:逻辑上或者说功能上的组成,即每一部分是什么.做什么.怎样做. ...

  9. 复利计算程序单元测试(C语言)

    对我们和复利计算程序,写单元测试. 有哪些场景? 期待的返回值 写测试程序. 运行测试. 我的复利计算程序是用C语言写的,不懂使用C语言的测试工具,所以用C语言的运行结果来反映测试结果. 测试模块(场 ...

  10. PHP学习之输出字符串(echo,print,printf,printr和vardump)

    下面一一进行介绍. 1. echo echo 是PHP的一个关键字,它没有返回值.在写法上,它可以省略小括号.如下代码: 复制代码 代码如下: echo 'Test String'; echo('Te ...