zoukankan      html  css  js  c++  java
  • 手脱nSPack 2.2

    1.PEID查壳

    深度扫描下:nSPack 2.2 -> North Star/Liu Xing Ping
    

    2.载入OD,上来就是一个大跳转,F8单步跟下去

    0040101B >- E9 82130300     jmp QQ个性网.004323A2                ; //程序入口
    00401020    B4 09           mov ah,0x9
    00401022    BA 0B01CD21     mov edx,0x21CD010B
    00401027    B4 4C           mov ah,0x4C
    00401029    CD 21           int 0x21
    0040102B    70 61           jo short QQ个性网.0040108E
    0040102D    636B 65         arpl word ptr ds:[ebx+0x65],bp
    00401030    64:2062 79      and byte ptr fs:[edx+0x79],ah
     

    3.大跳转的落脚点,在pushad下面的call使用ESP定律,下硬件访问断点,然后shift+F9

    004323A2    9C              pushfd                            ; //大跳转落脚点
    004323A3    60              pushad
    004323A4    E8 00000000     call QQ个性网.004323A9               ; //ESP定律
    004323A9    5D              pop ebp
    004323AA    B8 07000000     mov eax,0x7
    004323AF    2BE8            sub ebp,eax         

    4.ESP定律的落脚点,可以看到落脚点下面一行就是一个大跳转,我们继续F8

    0043261B    9D              popfd                             ; //ESP落脚点
    0043261C  - E9 B3ECFCFF     jmp QQ个性网.004012D4            ; //这里就是OEP
    00432621    8BB5 62FEFFFF   mov esi,dword ptr ss:[ebp-0x19E]
    00432627    0BF6            or esi,esi
    00432629    0F84 97000000   je QQ个性网.004326C6
    0043262F    8B95 6AFEFFFF   mov edx,dword ptr ss:[ebp-0x196]
    00432635    03F2            add esi,edx     
                      ; 

    5.来到OEP,可以脱壳了

    004012D4    68 54474000     push QQ个性网.00404754             ;//来到OEP
    004012D9    E8 F0FFFFFF     call QQ个性网.004012CE               
    004012DE    0000            add byte ptr ds:[eax],al
    004012E0    0000            add byte ptr ds:[eax],al
    004012E2    0000            add byte ptr ds:[eax],al
    004012E4    3000            xor byte ptr ds:[eax],al
    004012E6    0000            add byte ptr ds:[eax],al
    004012E8    48              dec eax                           
    004012E9    0000            add byte ptr ds:[eax],al
    004012EB    0000            add byte ptr ds:[eax],al

    6.运行查壳

    运行OK,查壳显示:Microsoft Visual Basic v5.0/v6.0
    
  • 相关阅读:
    sourceinsight问题
    mysql函数调用过程
    visual studio 中sstrcpy报错的问题
    mysql基本操作
    c/c++程序连接mysql
    mysql 在visual studio中的配置
    va_start
    c do{}while(0)
    .NET 通用权限设计
    https://zhidao.baidu.com/question/362784520674844572.html
  • 原文地址:https://www.cnblogs.com/JianXu/p/5158387.html
Copyright © 2011-2022 走看看