1.查壳
使用PEiD未能检测到壳信息,这时,我们更换其他工具
从图中可以看到壳的信息为【NsPacK(3.x)[-]】
2.百度壳信息
北斗程序压缩(Nspack)是一款压缩壳。主要的选项是:压缩资源,忽略重定位节,在压密约偷期前备份程充,强制压缩等
3.使用OD打开,查看信息
打开程序后,未发现pushad,单步步入追踪,查找pushad,很快就能找的pushad信息
4.壳特征定位
通过壳特征就能快速定位到OEP位置
此处可以确定JMP处就是OEP,单步向下一次,在此处进行脱壳(OD窗口在脱完壳后不要关闭)
5.修复处理
无法运行,使用工具“ImportREC.美化版.exe”修复IAT
通过修改“必需的IAT信息”的大小,得到全部的导入表函数,然后进行转正存储
6.进行查壳
未发现壳信息