|
|
|
脱Armadillo加壳的DLL文件奇想
一般加壳的DLL都会暂停在EP处,(某些时候需要处理一下才能停住),而不是一载入就会直接停在OEP |
|
|
|
|
|
|
|
|
|
|
|
北斗程序压缩(nSpack)V2.0的快速脱壳法+OllyMachine脱壳脚本
[nSpack V1.1 -> LiuXingPing] signature = 9C 60 E8 00 00 00 00 5D B8 57 84 40 00 2D 50 84 40 00 ep_only = true [nSpack V1.3 -> LiuXingPing] signature = 9C 60 E8 00 00 00 00 5D B8 B3 85 40 00 2D AC 85 40 00 ep_only = true [NsPack V1.4 -> LiuXingPing] signature = 9C 60 E8 00 00 00 00 5D B8 B1 85 40 00 2D AA 85 40 00 ep_only = true [nSpack V2.X -> LiuXingPing] signature = 6E 73 70 61 63 6B 24 40 ep_only = false [nSpack V2.X -> LiuXingPing] signature = ?? ?? ?? ?? ?? ?? ?? ?? ?? 00 ?? ?? 00 00 ?? ?? ?? 00 ep_only = true BTW:nSpack V2.X未必能够完全检测出来 |
|
[求助]碰见一ASPack 2.12+附加数据的壳
《加密与解密》2 |
|
[求助]碰见一ASPack 2.12+附加数据的壳
重定位表怎么没有修复 |
|
|
|
北斗程序压缩(nSpack)V2.0的快速脱壳法+OllyMachine脱壳脚本
北斗程序压缩(nSpack)V2.1可以采用上面的脱壳方法 北斗程序压缩(nSpack)V2.2有Bug,脱壳方法如下: 设置OllyDbg忽略所有异常选项 0040101B E9 11741200 jmp 00528431 //进入OllyDbg后暂停在这 BP VirtualProtect Shift+F9,中断后取消断点,Alt+F9返回 0052869A FF95 CFFCFFFF call dword ptr ss:[ebp-331]; kernel32.VirtualProtect //返回这里 005286A0 5A pop edx 005286A1 5B pop ebx 005286A2 59 pop ecx 005286A3 5E pop esi 005286A4 83C3 0C add ebx,0C 005286A7 E2 E1 loopd short 0052868A 005286A9 61 popad 005286AA 9D popfd 005286AB E9 0E73FBFF jmp 004DF9BE //直接F4到这里 BP VirtualAlloc Shift+F9,中断后取消断点,Alt+F9返回 004DD70A FF95 5EFCFFFF call dword ptr ss:[ebp-3A2]; kernel32.VirtualAlloc //返回这里 004DD710 85C0 test eax,eax Ctrl+S 在当前位置下搜索命令序列: popad popfd 004DD909 61 popad //找到这里 F4过来 004DD90A 9D popfd 004DD90B E9 48DFF6FF jmp 0044B858 //飞向光明之巅 0044B858 55 push ebp //OEP ★ 运行LordPE完全Dump这个进程 0044B859 8BEC mov ebp,esp 0044B85B 6A FF push -1 0044B85D 68 18FE4600 push 46FE18 0044B862 68 E0A14400 push 44A1E0 0044B867 64:A1 00000000 mov eax,dword ptr fs:[0] 0044B86D 50 push eax 0044B86E 64:8925 0000000>mov dword ptr fs:[0],esp 0044B875 83EC 58 sub esp,58 0044B878 53 push ebx 0044B879 56 push esi 0044B87A 57 push edi 0044B87B 8965 E8 mov dword ptr ss:[ebp-18],esp 0044B87E FF15 70A24600 call dword ptr ds:[46A270] ; kernel32.GetVersion |
|
北斗程序压缩(nSpack)V2.0的快速脱壳法+OllyMachine脱壳脚本
最初由 cyclotron 发布 只是简单的 按照老罗给的例子照虎画猫 难的就不会了 BTW:发现OllyMachine的一个“问题”,已经提交给老罗了,希望老罗有空时能够看看 |
|
|
|
|
|
|
|
北斗程序压缩(nSpack)V2.0的快速脱壳法+OllyMachine脱壳脚本
OllyMachine.UnPacK.For.nSpack.V1.X-V2.0 附件:nSpack.V1.X-V2.0.rar |
|
|
|
|
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值