查壳,是NsPack压缩壳。直接拖入OD。
老样子,开头有pushad
和pushfd
指令,首先使用ESP定律尝试脱壳。
发现跨节跳转,执行到OEP位置进行手脱。
跳转过后发现字节码是0x55开头,很明显是push ebp
指令,删除模块分析重新查看反汇编。
删除分析模块后的效果
这时就可以传统的手脱步骤了。修改OEP和IAT表。
内存Dump设置新的OEP。会出现以下莫名错误,两个脱壳器进行对比
都是识别了是Delphi程序,接下来修复IAT。没有无效函数,将IAT重新Copy到我们Dump下来的文件中。
运行程序,可以运行,脱壳成功。
NsPack 3.7
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章
脱壳 !EP(EXE PACK)1.2
时光菜刀
2020-07-03 01:27:57
再发一个某加密的脱壳视频
guiguzi1110
2020-07-01 14:56:00
MSC阿里比赛第三题详解
guiguzi1110
2020-07-01 14:55:58
MSC阿里比赛第二题详解
guiguzi1110
2020-07-01 14:55:57
手脱 ASPack 2.12 -> Alexey Solodovnikov
yihai313
2020-07-01 06:07:36
手动脱upx壳,出现invalid data in the file,用overlay 最终版修复成功
ewwerpm
2020-06-30 15:28:47
【图】手动脱yoda's cryptor 1.2
qingye2008
2020-06-24 23:41:12
手动脱ASPack 2.12 -> Alexey Solodovnikov
photodownloader這軟件是批量下載圖片的。 只脫殼。 00568001 > 60 pushad ; od載入在這00568002 E8 0300
qingye2008
2020-06-24 23:41:12
自己的脱壳过程(SoftDefender)
Hades1996
2020-06-16 08:35:10
总结下学习脱壳的正确资料和方法
Hades1996
2020-06-16 08:35:10
2020年 IOS 逆向 反编译 注入修改游戏或APP的调用参数新手系列教程——用bfinject脱壳、注入自己的动态framework、cycript的使用
w786572258
2020-06-09 01:02:56
[已发表,转载勘误]Android upx脱壳
卓桐
2020-03-02 13:41:28