-
-
[旧帖]
[求助]一个NsPack脱壳问题
0.00雪花
-
发表于:
2010-11-1 00:11
6477
-
[旧帖] [求助]一个NsPack脱壳问题
0.00雪花
最近在想试着破解一个软件,是网络认证的。
先用查壳软件PEID,发现软件加壳为NSPack 3.x(压缩壳),于是,破解的第一步自然是需要脱壳,先用了论坛里提供的专门处理NsPack壳的wnspack,结果脱壳完成后,新执行文件点开后登陆不上(点击登录没有任何反应),这种情况,应该是脱壳未成功吧,于是想转到手工脱壳。
手工脱壳,这里参考的“飘云阁初学者破解教程-第4课手工脱壳UPX壳”。
OD打开文件显示如下:
程序开始的地方为pushfd,pushad;
那么与之对应的结束位置应该是popad,popfd了。
按照“脱壳遵循的原则:只能向后跳,不能往前跳”,一步一步跳到下图popad,popfd地方。
上图中,jmp 004B7BFC应该是跳到OEP位置吧,在popfd一行设断点。F9运行。
然后两次F8,跳到OEP处(4B7BFC)。如下图:
找到OEP(?),下面可以脱壳了。
按视频步骤及其所用工具,这里用LordPE脱壳。
打开LordPE选中进程,右键菜单选择“dump full”(完整转存),默认保存为“dumped.exe”;
执行dumped.exe,跳出如下错误提示:
这里,用ImportREC来修复。
OEP=4B7BFC - 400000= B7BFC
(这里这么类推,对吗???)
打开ImportREC,选择进程,下面OEP处填B7BFC;
然后点击“IAT AutoSearch”按钮;(无视提示)
再把RVA Size改为1000(★这步非常重要★);
点击 Get Imports ;
点击 Fix Dump 选择dumped.exe文件,保存;
目前,有个dumped_.exe文件,
但是点击“登录”亦没反应。。。悲剧。。。
视频中,点击dumped_.exe文件是会有画面一闪而过,这里
不能登录是不是和这种自校验有关系呢?只是两者表现方式不一样呢?试一下吧。。。
视频中用这个函数 CreateFileA 来对付自校验问题。
OD载入修复后的程序dumped_.exe,命令行下断 BP CreateFileA 回车,F9运行;
但是F9运行,会弹出登录框,
而不是直接运行停在断点处。直接去看断点处情况:
查看7C801A24的调用树
然后汇编窗口中跟随命令40996A
汇编窗口中跟随命令41FD24
确实存在调用CreateFileA函数,但是不知道调用它,是不是真的是在做自校验。。。
将几个可能调用的地方,都改了,点击“登录”还是没反应。。。
下面,该如何进行呢???
也不知道目前进行的方向对不对呢?
求助!!!谢谢各位了!!!
[课程]FART 脱壳王!加量不加价!FART作者讲授!