脱壳入门(四)之nSPack3.7北斗压缩壳

最新推荐文章于 2025-07-26 13:45:53 发布
最新推荐文章于 2025-07-26 13:45:53 发布
阅读量1.4k 收藏 2
点赞数
CC 4.0 BY-SA版权
分类专栏: 脱壳
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/w_g3366/article/details/98845108
本文详细介绍了使用nSPack3.7北斗压缩壳进行脱壳的步骤,包括查找原始入口点(OEP)、dump文件及修复过程,确保脱壳后的文件能正常运行。

脱壳入门(四)之nSPack3.7北斗压缩壳

一、寻找OEP

  1. 查壳:nSPack 3.7壳、编译器版本12.0(VS2013)、区段信息
    在这里插入图片描述
  2. 寻找OEP
    壳入口点就是pushad pushfd,可以用ESP定律脱壳,压栈完成后,esp下硬件断点
    在这里插入图片描述
    F7单步走到原程序入口点
    在这里插入图片描述

二、Dump文件

在这里插入图片描述

三、修复文件

修复文件,可以成功运行,脱壳成功
在这里插入图片描述

NSPACK v3.7
02-02
nspack是国内一款优秀的加壳软件,是一款应用程序加壳工具,对 exe dll进行压缩
手工脱壳Nspack3.7教程
12-26
手工脱壳北斗Nspack3.7的教程
手动脱壳nSPack 3.7
曲终人散
08-02 2307
ESP定律的落脚点,可以看到落脚点下面一行就是一个大跳转,我们继续F8
nspack脱壳动画演示教程
最新发布
weixin_35639680的博客
07-26 1451
壳层入口点的加密是加壳技术中用于提高反汇编难度的关键手段。通过改变程序正常的入口执行流程,使得加壳后的程序无法直接被分析。入口点的加密技术主要有:简单加密、变形指令、控制流平坦化等。简单加密可能是对入口点的代码进行异或、加减、移动等操作,而变形指令则改变程序的指令集,控制流平坦化通过将一个复杂的控制流图展开成多个线性块来混淆程序的执行路径。
NsPack 3.7
AlexSmoker的博客
02-07 958
查壳,是NsPack压缩壳。直接拖入OD。 老样子,开头有pushad和pushfd指令,首先使用ESP定律尝试脱壳。 发现跨节跳转,执行到OEP位置进行手脱。 跳转过后发现字节码是0x55开头,很明显是push ebp指令,删除模块分析重新查看反汇编。 删除分析模块后的效果 这时就可以传统的手脱步骤了。修改OEP和IAT表。 内存Dump设置新的OEP。会出现以下莫名错误,两个脱壳器进...
手脱ASpack
寻梦&之璐
01-29 1073
声明 首先记住刚开始的时候ESP的值 单步调试 还是那句话,遇到向下的跳转让它实现,向上的直接F4就行 ESP的值是0x0133FBE4 第一个call(步入) 第二个call(步入) 第三个call(步过)(GetModuleHandleA) 第个call(步过)(GetProcAddress) 第五个call(步过)(VirtualAlloc) 第五个call(步过)(VirtualAlloc) 第六个call(步过)(未知) 第七个call(步过)(VirtualFree) 第八个
Nspack3.7 北斗压缩
03-05
**Nspack3.7 北斗压缩:详解与应用** **一、Nspack3.7介绍** Nspack3.7是一款知名的文件压缩和加壳工具,尤其适用于.exe和.dll文件。它以其强大的压缩技术和加壳技术,能够有效地减小可执行文件的大小,提高程序的...
北斗Nspack3.7压缩与授权教程
标题中提到的“北斗Nspack3.7”和描述中提及的“北斗Nspack3.6”很可能是指同一软件的不同版本。根据描述,该软件似乎用于文件压缩。通常在软件版本命名中,“3.7”或“3.6”指的是软件的版本号,这表明这两个标识符...
北斗程序压缩 nSpack 3.7.rar
12-31
北斗程序压缩 nSpack 3.7.rar 用法 就不用我说 了吧
Nspack3.7版发布,加壳与压缩功能俱佳
由于Nspack是一款加壳和压缩工具,压缩包子文件的文件名称列表将仅包含Nspack3.7这一文件名,这暗示了压缩包内可能只有一个安装或执行文件,即Nspack3.7的可执行程序。 ### 结论 通过以上分析,可以看出Nspack3.7...
北斗ncpack的简单脱壳
weixin_33885676的博客
07-26 213
大跳转可能跳到OEP北斗1.31.ESP定律法2.内存镜像法,如果没有.rsrc的情况直接找00401000下断。3.Sfxod自动跳到疑似c++的OEP4.单步跟踪法5.atGetVersion适合于北斗3.0以下北斗2.41.ESP定律2.内存镜像法3.单步跟踪法4.脚本脱北斗3.71.ESP定律2.内存镜像3.单步跟踪法脱壳之后下面转点文章吧北斗4.1壳改壳之二加...
Nspack3.7
02-09
压缩壳\Nspack3.7.exe
北斗脱壳........
01-10
北斗脱壳.可脱大部分北斗...................
著名的加壳工具Nspack,这是3.7版,压缩也很不错,不多介绍了。Nspack3.7
04-28
著名的加壳工具Nspack,这是3.7版,压缩也很不错,不多介绍了。Nspack3.7
nspack脱壳,有动画演示哦
06-01
nspack脱壳,有 动画演示,呵呵,大家支持
北斗程序压缩 Nspack V3.7中文绿色版
05-19
nspack 应用程序加壳工具,对 exe dll进行压缩
手脱nSPack 3.7
weixin_30488313的博客
11-03 156
方法一: 1.OD查壳—nSpack3.7的壳 2. 载入OD 看起来很眼熟,F8一次,然后下面就可以使用ESP定律了,使用ESP定律下断点,然后F93.F9次后落到这个位置 接下来就是不停F8了,注意点: ①F8过程中不管是向上跳还是向下跳我们都让他实现,按照正常逻辑,向上的跳转不是应该在下面一行下断跳过去吗?起初我也是这...
NsPack3.x脱壳手记
輚至消亡
08-04 681
完成后就可以Fix dump了, 这样就完成了对IAT表的修复, 注意这里Fix Dump后会要你选择一个exe文件, 你要选择之前通过LordPE转储下来的exe, 因为Scylla是修复转储, 那肯定是在dump文件的基础上。发现了IAT表中有0存在, 了解过PE结构的可能会知道一般IAT表中0代表结束, 也就是说NsPack3.x把IAT表给中断了, 下面进行修复。将IAT表的大小设置成一个非常大的值, 这样就会搜索很大范围内的IAT内容而忽略了IAT表中存在0造成截断的影响。接着把无效的部分删除。
Nspack3.7 Cracked by linex
Linhanshi Blog
06-01 846
FROM:http://www.unpack.cnDOWN:http://rapidshare.de/files/21909265/nspack3.7_cracked.rar.html
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值