查殼,是NsPack壓縮殼。直接拖入OD。
老樣子,開頭有pushad和pushfd指令,首先使用ESP定律嘗試脫殼。
發現跨節跳轉,執行到OEP位置進行手脫。
跳轉過後發現字節碼是0x55開頭,很明顯是push ebp指令,刪除模塊分析重新查看反彙編。
刪除分析模塊後的效果
這時就可以傳統的手脫步驟了。修改OEP和IAT表。
內存Dump設置新的OEP。會出現以下莫名錯誤,兩個脫殼器進行對比
都是識別了是Delphi程序,接下來修復IAT。沒有無效函數,將IAT重新Copy到我們Dump下來的文件中。
運行程序,可以運行,脫殼成功。
