[原创]nsPack2.x通用脱壳法-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[原创]nsPack2.x通用脱壳法

发表于: 2005-7-26 18:03 13235

[原创]nsPack2.x通用脱壳法

peaceclub

2005-7-26 18:03

13235

[原创]NsPack2.x通用脱壳法
Author: peaceclub[at]PEDIY Goldsun[at]SECURITY

脱壳过程描述:
1、OD 加载
2、Ctrl+B 寻找二进制: 61 9d e9
3、修改 619d为ebfe
4、F9
5、暂停程序,Alt+Backspace恢复代码,3次F8,Ctrl+A
6、Dump+Imprec IAT Fix

案例分析:
附件中为一个数据包侦听工具,经过nspack2.6压缩。
下载例子:packinter_nspack.zip

[/quote]我们按照上面的脱壳过程一步步做.
1、OD 加载
[quote]
0040B4A8 > 9C PUSHFD '停在这里
0040B4A9 60 PUSHAD
0040B4AA E8 00000000 CALL PackInte.0040B4AF
0040B4AF 5D POP EBP
0040B4B0 B8 07000000 MOV EAX,7
0040B4B5 2BE8 SUB EBP,EAX
0040B4B7 8DB5 E8FDFFFF LEA ESI,DWORD PTR SS:[EBP-218]
0040B4BD 8A06 MOV AL,BYTE PTR DS:[ESI]

2、Ctrl+B 寻找二进制: 61 9d e9

0040B72F 61 POPAD '找到了这里
0040B730 9D POPFD
0040B731 -E9 A978FFFF JMP PackInte.00402FDF
0040B736 8BB5 9CFDFFFF MOV ESI,DWORD PTR SS:[EBP-264]
0040B73C 0BF6 OR ESI,ESI

3、修改 619d为ebfe

0040B72F -EB FE JMP SHORT PackInte.0040B72F
0040B731 -E9 A978FFFF JMP PackInte.00402FDF

有的朋友有可能问为什么,Nspack新版本本身对硬软断点有检测,所以断不住。采用此方法直接改代码，让程序自己断 :)
4、F9
程序进入死循环
5、暂停程序,Alt+Backspace恢复代码,3次F8,Ctrl+A

00402FDF /. 55 PUSH EBP '道路的开始 OEP
00402FE0 |. 8BEC MOV EBP,ESP
00402FE2 |. 6A FF PUSH -1
00402FE4 |. 68 784A4000 PUSH PackInte.00404A78
00402FE9 |. 68 66314000 PUSH PackInte.00403166 ; JMP to msvcrt._except_handler3; SE handler installation
00402FEE |. 64:A1 00000000 MOV EAX,DWORD PTR FS:[0]
00402FF4 |. 50 PUSH EAX
00402FF5 |. 64:8925 000000>MOV DWORD PTR FS:[0],ESP
00402FFC |. 83EC 68 SUB ESP,68
00402FFF |. 53 PUSH EBX
00403000 |. 56 PUSH ESI
00403001 |. 57 PUSH EDI

6、Dump+Imprec IAT Fix
这个就不说了。

关于nsPack2.6主程序脱壳
nspack2.6新版本主程序加了两个异常seh(内存访问异常和除零异常),脱法也很容易:
OD中仅保留Kernel32内存访问异常忽略,od加载后,直接F9,一次Shift+F9,Ctrl+A,在从上面脱壳过程描述第二步开始即可。

任务提高:
附件中原未压缩文件大小为: 36864 字节,请尝试把您脱壳的文件整理缩小，看是否能自己实现完美脱壳,并把过程简易描述到此帖。

[课程]Linux pwn 探索篇！

收藏・0

免费・7

支持

最新回复 (21)
prince 雪币： 603 活跃值： (617) 能力值： ( LV12，RANK：660 ) 在线值：发帖 51 回帖 1874 粉丝 8 关注私信	prince 16 2 楼多谢，学习一下~ 2005-7-26 18:20 0
夜凉如水雪币： 136 活跃值： (105) 能力值： ( LV9，RANK：140 ) 在线值：发帖 18 回帖 719 粉丝 1 关注私信	夜凉如水 3 3 楼好东西经典过程 2005-7-26 18:26 0
闪电狼雪币： 108 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 709 粉丝 0 关注私信	闪电狼 4 楼主程序脱壳没这么麻烦的 2005-7-26 20:09 0
baby2008 雪币： 442 活跃值： (1216) 能力值： ( LV12，RANK：1130 ) 在线值：发帖 87 回帖 1435 粉丝 5 关注私信	baby2008 28 5 楼牛x 2005-7-26 20:19 0
peaceclub 雪币： 255 活跃值： (207) 能力值： ( LV9，RANK：250 ) 在线值：发帖 59 回帖 967 粉丝 1 关注私信	peaceclub 6 6 楼最初由闪电狼发布主程序脱壳没这么麻烦的麻烦吗?别看我写这么多,按照我的方法做,几秒就搞定了。操作一下试试吧.(主程序是针对2.6版的) 2005-7-26 22:17 0
Lenus 雪币： 159 活跃值： (339) 能力值： ( LV8，RANK：130 ) 在线值：发帖 17 回帖 394 粉丝 22 关注私信	Lenus 3 7 楼第3，4步的思维，我喜欢... 2005-7-26 23:04 0
peaceclub 雪币： 255 活跃值： (207) 能力值： ( LV9，RANK：250 ) 在线值：发帖 59 回帖 967 粉丝 1 关注私信	peaceclub 6 8 楼此贴两目的: 1、针对新手,学会快速脱壳 2、主要目的在于进行脱壳文件的文件大小优化,有没有更好的方法或者思路来解决section合并后的文件大小问题 2005-7-26 23:13 0
peaceclub 雪币： 255 活跃值： (207) 能力值： ( LV9，RANK：250 ) 在线值：发帖 59 回帖 967 粉丝 1 关注私信	peaceclub 6 9 楼 fly 看到贴请联系我一下.谢谢 QQ: 84823714 2005-7-27 00:49 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 10 楼 mail联系 fly4099@sohu.com 2005-7-27 09:07 0
auser 雪币： 234 活跃值： (104) 能力值： ( LV2，RANK：10 ) 在线值：发帖 35 回帖 568 粉丝 1 关注私信	auser 11 楼我也依葫芦画瓢： [原创]NsPack2.x通用脱壳法 Author: auser[at]PEDIY 脱壳过程描述: 1、OD 加载 2、F8 3、hr esp 4、F9 5、F8 ；-->到达oep 6、Dump+Imprec IAT Fix 2005-7-27 17:33 0
pepack 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 3 回帖 16 粉丝 0 关注私信	pepack 12 楼 PEID或quickunpack0.7 秒杀！！！ 2005-7-27 18:16 0
有点累了雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	有点累了 13 楼复杂看不懂一些技术不好! 这个主程序可以用ESP定律快脱壳 2005-7-27 22:40 0
ljy3282393 雪币： 214 活跃值： (15) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 426 粉丝 1 关注私信	ljy3282393 1 14 楼最初由 Lenus 发布第3，4步的思维，我喜欢... 2005-7-28 22:05 0
βοА 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	βοА 15 楼一定要?一下~ 2005-7-29 00:25 0
山蒙雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 23 粉丝 0 关注私信	山蒙 16 楼最初由 βοА 发布一定要?一下~ 2005-7-30 18:35 0
yunfeng 雪币： 269 活跃值： (51) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 489 粉丝 0 关注私信	yunfeng 1 17 楼老版本加的壳能用这个方法脱吗? 2005-7-31 08:30 0
yunfeng 雪币： 269 活跃值： (51) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 489 粉丝 0 关注私信	yunfeng 1 18 楼用quickunpack0.7轻松脱壳成功． 2005-7-31 10:09 0
djpvd 雪币： 320 活跃值： (104) 能力值： (RANK：180 ) 在线值：发帖 133 回帖 447 粉丝 2 关注私信	djpvd 4 19 楼最初由 peaceclub 发布 [原创]NsPack2.x通用脱壳法 Author: peaceclub[at]PEDIY Goldsun[at]SECURITY 脱壳过程描述: 1、OD 加载 ........ THX 大佬您描述的很详细不知大佬可否写一篇 Hying 0.7x的新手教程 THX... 2005-7-31 22:43 0
pendan2001 雪币： 61 活跃值： (160) 能力值： ( LV9，RANK：170 ) 在线值：发帖 25 回帖 1180 粉丝 0 关注私信	pendan2001 4 20 楼学习 2005-8-1 16:47 0
酷酷雪币： 201 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 33 回帖 322 粉丝 0 关注私信	酷酷 21 楼好奇怪的问题,我照脱文一步一步下来,最后得到的脱壳exe比加了壳的还要小还有,双击运行没发映,就闪一下 2005-8-3 09:44 0
zbqy 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 34 粉丝 0 关注私信	zbqy 22 楼学习了不错不错 2005-8-6 10:51 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

peaceclub

发帖

967

回帖

250

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (21)
prince 雪币： 603 活跃值： (617) 能力值： ( LV12，RANK：660 ) 在线值：发帖 51 回帖 1874 粉丝 8 关注私信	prince 16 2 楼多谢，学习一下~ 2005-7-26 18:20 0
夜凉如水雪币： 136 活跃值： (105) 能力值： ( LV9，RANK：140 ) 在线值：发帖 18 回帖 719 粉丝 1 关注私信	夜凉如水 3 3 楼好东西经典过程 2005-7-26 18:26 0
闪电狼雪币： 108 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 709 粉丝 0 关注私信	闪电狼 4 楼主程序脱壳没这么麻烦的 2005-7-26 20:09 0
baby2008 雪币： 442 活跃值： (1216) 能力值： ( LV12，RANK：1130 ) 在线值：发帖 87 回帖 1435 粉丝 5 关注私信	baby2008 28 5 楼牛x 2005-7-26 20:19 0
peaceclub 雪币： 255 活跃值： (207) 能力值： ( LV9，RANK：250 ) 在线值：发帖 59 回帖 967 粉丝 1 关注私信	peaceclub 6 6 楼最初由闪电狼发布主程序脱壳没这么麻烦的麻烦吗?别看我写这么多,按照我的方法做,几秒就搞定了。操作一下试试吧.(主程序是针对2.6版的) 2005-7-26 22:17 0
Lenus 雪币： 159 活跃值： (339) 能力值： ( LV8，RANK：130 ) 在线值：发帖 17 回帖 394 粉丝 22 关注私信	Lenus 3 7 楼第3，4步的思维，我喜欢... 2005-7-26 23:04 0
peaceclub 雪币： 255 活跃值： (207) 能力值： ( LV9，RANK：250 ) 在线值：发帖 59 回帖 967 粉丝 1 关注私信	peaceclub 6 8 楼此贴两目的: 1、针对新手,学会快速脱壳 2、主要目的在于进行脱壳文件的文件大小优化,有没有更好的方法或者思路来解决section合并后的文件大小问题 2005-7-26 23:13 0
peaceclub 雪币： 255 活跃值： (207) 能力值： ( LV9，RANK：250 ) 在线值：发帖 59 回帖 967 粉丝 1 关注私信	peaceclub 6 9 楼 fly 看到贴请联系我一下.谢谢 QQ: 84823714 2005-7-27 00:49 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 10 楼 mail联系 fly4099@sohu.com 2005-7-27 09:07 0
auser 雪币： 234 活跃值： (104) 能力值： ( LV2，RANK：10 ) 在线值：发帖 35 回帖 568 粉丝 1 关注私信	auser 11 楼我也依葫芦画瓢： [原创]NsPack2.x通用脱壳法 Author: auser[at]PEDIY 脱壳过程描述: 1、OD 加载 2、F8 3、hr esp 4、F9 5、F8 ；-->到达oep 6、Dump+Imprec IAT Fix 2005-7-27 17:33 0
pepack 雪币： 0 能力值： (RANK：10 ) 在线值：发帖 3 回帖 16 粉丝 0 关注私信	pepack 12 楼 PEID或quickunpack0.7 秒杀！！！ 2005-7-27 18:16 0
有点累了雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	有点累了 13 楼复杂看不懂一些技术不好! 这个主程序可以用ESP定律快脱壳 2005-7-27 22:40 0
ljy3282393 雪币： 214 活跃值： (15) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 426 粉丝 1 关注私信	ljy3282393 1 14 楼最初由 Lenus 发布第3，4步的思维，我喜欢... 2005-7-28 22:05 0
βοА 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	βοА 15 楼一定要?一下~ 2005-7-29 00:25 0
山蒙雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 23 粉丝 0 关注私信	山蒙 16 楼最初由 βοА 发布一定要?一下~ 2005-7-30 18:35 0
yunfeng 雪币： 269 活跃值： (51) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 489 粉丝 0 关注私信	yunfeng 1 17 楼老版本加的壳能用这个方法脱吗? 2005-7-31 08:30 0
yunfeng 雪币： 269 活跃值： (51) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 489 粉丝 0 关注私信	yunfeng 1 18 楼用quickunpack0.7轻松脱壳成功． 2005-7-31 10:09 0
djpvd 雪币： 320 活跃值： (104) 能力值： (RANK：180 ) 在线值：发帖 133 回帖 447 粉丝 2 关注私信	djpvd 4 19 楼最初由 peaceclub 发布 [原创]NsPack2.x通用脱壳法 Author: peaceclub[at]PEDIY Goldsun[at]SECURITY 脱壳过程描述: 1、OD 加载 ........ THX 大佬您描述的很详细不知大佬可否写一篇 Hying 0.7x的新手教程 THX... 2005-7-31 22:43 0
pendan2001 雪币： 61 活跃值： (160) 能力值： ( LV9，RANK：170 ) 在线值：发帖 25 回帖 1180 粉丝 0 关注私信	pendan2001 4 20 楼学习 2005-8-1 16:47 0
酷酷雪币： 201 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 33 回帖 322 粉丝 0 关注私信	酷酷 21 楼好奇怪的问题,我照脱文一步一步下来,最后得到的脱壳exe比加了壳的还要小还有,双击运行没发映,就闪一下 2005-8-3 09:44 0
zbqy 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 34 粉丝 0 关注私信	zbqy 22 楼学习了不错不错 2005-8-6 10:51 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复