查壳,是NsPack压缩壳。直接拖入OD。
老样子,开头有pushad和pushfd指令,首先使用ESP定律尝试脱壳。
发现跨节跳转,执行到OEP位置进行手脱。
跳转过后发现字节码是0x55开头,很明显是push ebp指令,删除模块分析重新查看反汇编。
删除分析模块后的效果
这时就可以传统的手脱步骤了。修改OEP和IAT表。
内存Dump设置新的OEP。会出现以下莫名错误,两个脱壳器进行对比
都是识别了是Delphi程序,接下来修复IAT。没有无效函数,将IAT重新Copy到我们Dump下来的文件中。
运行程序,可以运行,脱壳成功。
