手撕Nspack3.7(北斗)壳

原创 于 2021-01-29 14:52:14 发布 · 1.1k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了利用ESP定律来分析PE文件壳的过程,包括dump数据区、设置硬件访问断点以追踪ESP变化,以及如何找到OEP(Original Entry Point)。在解析过程中,强调了正确设置硬件断点的重要性,并分享了在遇到不同跳转时的处理策略。最后,讨论了内存镜像在解壳过程中的应用,以确定关键点并成功解壳。

文章目录

声明

记住ESP的值,然后下面用几种技术分别脱壳

ESP定律

在这里插入图片描述

ESP的值为0x19FF74
设置硬件访问断点(记住在ESP的突变后第一步)

第一步:

在这里插入图片描述

dump数据区

在这里插入图片描述

然后设置硬件访问断点

在这里插入图片描述

特别注意,是硬件访问断点,千万别下硬件写入断点硬件执行断点

紧接着运行即可,然后到达这里
在这里插入图片描述
遇到一个大跳转,即跳向OEP地址的。执行后,
在这里插入图片描述
这里即是OEP,ESP的值为0x19FF74

收尾

记得把硬件断点删除
在这里插入图片描述

单步执行

还是那句话,遇到向下的跳转让它实现,向上的直接F4就行。。
然后就来到了
在这里插入图片描述

这个的话,单步跟踪没什么好说的。。。跟UPX一样。。。执行到OEP后,ESP的值为0x19FF74

at GetVersion方法我试了一下,对付北斗3.7的壳行不通。。。

两次内存镜像

在这里插入图片描述
查了一下,PE在运行过程中,是从上向下开始解压的,以前先在.rsrc段下断点,然后再去1000偏移处下断点(一般为code段)。现在的话,没有.rsrc段,那就在1000偏移处下断点(一般为code段)

第一次

在这里插入图片描述
然后点击运行,来到了这里
在这里插入图片描述
接下来几步直接单步向下即可。
在这里插入图片描述
找到了去向OEP的关键点。GAMEOVER

学习ximo脱壳视频:2、脱ASPACK
Jaychouzzk
04-22 462
所用工具:Ollydbg(吾爱版)   PEID v0.95运行环境:windows xp使用PEID v0.95进行查        此程序的为ASPack使用OD载入程序,ASPack查询OEP有6种方法,1.单步跟踪,2.ESP定律,3.一步直达,4.二次内存镜像,5.模拟跟踪,6.SFX现演示两次内存镜象法、模拟跟踪和SFX法来进行查询OEP一、两次内存镜像法首先使用OD 载入此程序...
脱壳Nspack3.7教程
12-26
脱壳北斗Nspack3.7的教程
NSPACK v3.7
02-02
nspack是国内一款优秀的加软件,是一款应用程序加工具,对 exe dll进行压缩
Nspack3.7
02-09
压缩\Nspack3.7.exe
脱ASpack
寻梦&之璐
01-29 1184
声明 首先记住刚开始的时候ESP的值 单步调试 还是那句话,遇到向下的跳转让它实现,向上的直接F4就行 ESP的值是0x0133FBE4 第一个call(步入) 第二个call(步入) 第三个call(步过)(GetModuleHandleA) 第四个call(步过)(GetProcAddress) 第五个call(步过)(VirtualAlloc) 第五个call(步过)(VirtualAlloc) 第六个call(步过)(未知) 第七个call(步过)(VirtualFree) 第八个
脱壳入门()nSPack3.7北斗压缩
w_g3366的博客
08-08 1444
脱壳入门()nSPack3.7北斗压缩 一、寻找OEP 查nSPack 3.7、编译器版本12.0(VS2013)、区段信息 寻找OEP 入口点就是pushad pushfd,可以用ESP定律脱壳,压栈完成后,esp下硬件断点 F7单步走到原程序入口点 二、Dump文件 三、修复文件 修复文件,可以成功运行,脱壳成功 ...
Nspack3.7 北斗压缩
03-05
**Nspack3.7 北斗压缩:详解与应用** **一、Nspack3.7介绍** Nspack3.7是一款知名的文件压缩和加工具,尤其适用于.exe和.dll文件。它以其强大的压缩技术和加技术,能够有效地减小可执行文件的大小,提高程序的...
北斗程序压缩 nSpack 3.7.rar
12-31
北斗程序压缩 nSpack 3.7.rar 用法 就不用我说 了吧
北斗Nspack3.7压缩与授权教程
标题中提到的“北斗Nspack3.7”和描述中提及的“北斗Nspack3.6”很可能是指同一软件的不同版本。根据描述,该软件似乎用于文件压缩。通常在软件版本命名中,“3.7”或“3.6”指的是软件的版本号,这表明这两个标识符...
nspack3.7变异
07-08
nspack3.7变异是指nspack软件版本3.7的改变或变异。nspack是一种用于数据压缩的软件工具,用于将文件或数据进行压缩以节省存储空间或传输带宽。nspack3.7变异可能包括以下方面的变化: 1. 功能增强:nspack3.7...
脱壳nSPack 3.7
曲终人散
08-02 2345
ESP定律的落脚点,可以看到落脚点下面一行就是一个大跳转,我们继续F8
nspack2.3(北斗压缩).rar
10-13
nspack2.3(北斗压缩).rar nspack2.3(北斗压缩).rar
nspack脱壳,有动画演示哦
06-01
nspack脱壳,有 动画演示,呵呵,大家支持
脱壳工具下载 脱壳工具下载器 v1.0
11-10
脱壳工具下载器,具有丰富的资源,只要点击下拉选择工具类型,双击即可下载,软件使用特别简单,只需下载即可使用,赶快下载吧!
脱Aspack的几种方法
影月
09-21 719
第一种:1.OD载入后停留在这里:代码如下:0040B001 >  60              PUSHAD0040B002    E8 03000000     CALL 工程1.0040B00A0040B007  - E9 EB045D45     JMP 459DB4F70040B00C    55              PUSH EBP0040B00D    C3              RETN>>>>>>>>>>>>>>>>2.按下F8后,esp高亮ESP 0012FFA43.在数据窗
脱壳之AsPack压缩脱壳-随机基址
baochi8399的博客
07-18 1300
一、工具及介绍二、脱壳1、ESP定律脱壳2、单步跟踪脱壳3、基址重定位的修复 一、工具及介绍 使用工具:Ollydbg、PEID、ImportREC、LoadPE、010 Editor 查看待脱壳程序 查看AsPack特有的区段信息 小结:根据链接器版本推断待脱壳程序应该是VS 2013...
nSPack 3.7
weixin_30488313的博客
11-03 166
方法一: 1.OD查nSpack3.7 2. 载入OD 看起来很眼熟,F8一次,然后下面就可以使用ESP定律了,使用ESP定律下断点,然后F9四次 3.F9四次后落到这个位置 接下来就是不停F8了,注意点: ①F8过程中不管是向上跳还是向下跳我们都让他实现,按照正常逻辑,向上的跳转不是应该在下面一行下断跳过去吗?起初我也是这...
脱aspack变形
weixin_43916678的博客
09-07 295
首先放进查软件里,什么也没查出,但是在EP那里显示“皇后”,有点不正常,后来得知事aspack变形。 放进OD里一开始就是一个大跳转,f8往下走。 用单步追踪法,遇到近call就跟进,远call就步过,00418609是近call,我们f7跟进。 进去函数里面之后一步步往下走,在0041862E这里有个跳转,这是个循环,如果选择F4跳过循环,那么程序会直接跑飞。 并且多循环几次就会发现...
nspack脱壳动,esp法)
weixin_45574485的博客
08-28 956
1.,直接丢查工具就可以查看,进行重定位已分离(不知道的可以看我上一篇文章https://mp.csdn.net/mdeditor/100102533#) 2.用od打开,可以发现pushfd和pushad,f8单步执行两下,在右边选中esp,下硬件断点 3.f9执行到硬件断点,此时可以看到popfd和下面一个jmp,先f8一次 4.再f8一次,可以看到代码被od误解析成数据,此时,c...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

寻梦&之璐

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值