-
-
[旧帖] [求助]一个NsPack脱壳问题 0.00雪花
-
发表于: 2010-11-1 00:11
-
最近在想试着破解一个软件,是网络认证的。
先用查壳软件PEID,发现软件加壳为NSPack 3.x(压缩壳),于是,破解的第一步自然是需要脱壳,先用了论坛里提供的专门处理NsPack壳的wnspack,结果脱壳完成后,新执行文件点开后登陆不上(点击登录没有任何反应),这种情况,应该是脱壳未成功吧,于是想转到手工脱壳。
手工脱壳,这里参考的“飘云阁初学者破解教程-第4课手工脱壳UPX壳”。
OD打开文件显示如下:
程序开始的地方为pushfd,pushad;
那么与之对应的结束位置应该是popad,popfd了。
按照“脱壳遵循的原则:只能向后跳,不能往前跳”,一步一步跳到下图popad,popfd地方。
上图中,jmp 004B7BFC应该是跳到OEP位置吧,在popfd一行设断点。F9运行。
然后两次F8,跳到OEP处(4B7BFC)。如下图:
找到OEP(?),下面可以脱壳了。
按视频步骤及其所用工具,这里用LordPE脱壳。
打开LordPE选中进程,右键菜单选择“dump full”(完整转存),默认保存为“dumped.exe”;
执行dumped.exe,跳出如下错误提示:
这里,用ImportREC来修复。
OEP=4B7BFC - 400000= B7BFC(这里这么类推,对吗???)
打开ImportREC,选择进程,下面OEP处填B7BFC;
然后点击“IAT AutoSearch”按钮;(无视提示)
再把RVA Size改为1000(★这步非常重要★);
点击 Get Imports ;
点击 Fix Dump 选择dumped.exe文件,保存;
目前,有个dumped_.exe文件,但是点击“登录”亦没反应。。。悲剧。。。
视频中,点击dumped_.exe文件是会有画面一闪而过,这里不能登录是不是和这种自校验有关系呢?只是两者表现方式不一样呢?试一下吧。。。
视频中用这个函数 CreateFileA 来对付自校验问题。
OD载入修复后的程序dumped_.exe,命令行下断 BP CreateFileA 回车,F9运行;
但是F9运行,会弹出登录框,而不是直接运行停在断点处。
直接去看断点处情况:
查看7C801A24的调用树
然后汇编窗口中跟随命令40996A
汇编窗口中跟随命令41FD24
确实存在调用CreateFileA函数,但是不知道调用它,是不是真的是在做自校验。。。
将几个可能调用的地方,都改了,点击“登录”还是没反应。。。
下面,该如何进行呢???
也不知道目前进行的方向对不对呢?
求助!!!谢谢各位了!!!
先用查壳软件PEID,发现软件加壳为NSPack 3.x(压缩壳),于是,破解的第一步自然是需要脱壳,先用了论坛里提供的专门处理NsPack壳的wnspack,结果脱壳完成后,新执行文件点开后登陆不上(点击登录没有任何反应),这种情况,应该是脱壳未成功吧,于是想转到手工脱壳。
手工脱壳,这里参考的“飘云阁初学者破解教程-第4课手工脱壳UPX壳”。
OD打开文件显示如下:
程序开始的地方为pushfd,pushad;
那么与之对应的结束位置应该是popad,popfd了。
按照“脱壳遵循的原则:只能向后跳,不能往前跳”,一步一步跳到下图popad,popfd地方。
上图中,jmp 004B7BFC应该是跳到OEP位置吧,在popfd一行设断点。F9运行。
然后两次F8,跳到OEP处(4B7BFC)。如下图:
找到OEP(?),下面可以脱壳了。
按视频步骤及其所用工具,这里用LordPE脱壳。
打开LordPE选中进程,右键菜单选择“dump full”(完整转存),默认保存为“dumped.exe”;
执行dumped.exe,跳出如下错误提示:
这里,用ImportREC来修复。
OEP=4B7BFC - 400000= B7BFC(这里这么类推,对吗???)
打开ImportREC,选择进程,下面OEP处填B7BFC;
然后点击“IAT AutoSearch”按钮;(无视提示)
再把RVA Size改为1000(★这步非常重要★);
点击 Get Imports ;
点击 Fix Dump 选择dumped.exe文件,保存;
目前,有个dumped_.exe文件,但是点击“登录”亦没反应。。。悲剧。。。
视频中,点击dumped_.exe文件是会有画面一闪而过,这里不能登录是不是和这种自校验有关系呢?只是两者表现方式不一样呢?试一下吧。。。
视频中用这个函数 CreateFileA 来对付自校验问题。
OD载入修复后的程序dumped_.exe,命令行下断 BP CreateFileA 回车,F9运行;
但是F9运行,会弹出登录框,而不是直接运行停在断点处。
直接去看断点处情况:
查看7C801A24的调用树
然后汇编窗口中跟随命令40996A
汇编窗口中跟随命令41FD24
确实存在调用CreateFileA函数,但是不知道调用它,是不是真的是在做自校验。。。
将几个可能调用的地方,都改了,点击“登录”还是没反应。。。
下面,该如何进行呢???
也不知道目前进行的方向对不对呢?
求助!!!谢谢各位了!!!
|
|
|---|---|
|
|
|
|
|
直接用od脱呢?
|
|
|
|
|
|
|
|
|
先谢谢您的解答
嗯 我按堆栈平衡(ESP定律)脱壳 得到的OEP地址和前面的方法是一样的 但是 还是脱壳后 软件点击“登录”没反应 脱壳过程的 input 和 output 应该是具有相同功能的吧 可现在脱壳后 不能登录 会是哪里的原因呢??? 会是自校验的原因吗? 谢谢 
|
|
|
坐等高手解答
|
|
|
|
|
|
|
|
|
一个游戏外挂程序
原文件2M多,这里分卷压缩了一下 问题是:脱壳后,软件点击“登录”没反应 正常的话,脱壳后应该和脱壳前功能一样 非常感谢楼上几位关注
|
|
|
下载要kx币我表示很蛋疼
|
|
|
|
|
|
|
|
|
|
