首页
社区
课程
招聘
[求助]nSpack V2.X -> LiuXingPing *脱壳思路
发表于: 2013-8-24 17:16 9079

[求助]nSpack V2.X -> LiuXingPing *脱壳思路

2013-8-24 17:16
9079
入OD是这个样子,,,
009E24C2 >  68 D923231D     push 1D2323D9
009E24C7    E9 C3CA5900     jmp MapleElv.00F7EF8F
009E24CC    0010            add byte ptr ds:[eax],dl
009E24CE    0000            add byte ptr ds:[eax],al
009E24D0    70 00           jo short MapleElv.009E24D2
009E24D2    0000            add byte ptr ds:[eax],al
009E24D4    0130            add dword ptr ds:[eax],esi
009E24D6    1330            adc esi,dword ptr ds:[eax]
009E24D8    2130            and dword ptr ds:[eax],esi
009E24DA    51              push ecx
009E24DB    309A 30F33001   xor byte ptr ds:[edx+130F330],bl
009E24E1    311A            xor dword ptr ds:[edx],ebx
009E24E3    31B1 31C331D6   xor dword ptr ds:[ecx+D631C331],esi
009E24E9    3146 32         xor dword ptr ds:[esi+32],eax
009E24EC    7C 32           jl short MapleElv.009E2520
009E24EE    06              push es
009E24EF    34 41           xor al,41
009E24F1    34 5E           xor al,5E
009E24F3    34 9D           xor al,9D
009E24F5    34 31           xor al,31
009E24F7    36:3F           aas
009E24F9    36:52           push edx
009E24FB    36:             prefix ss:
009E24FC    64:             prefix fs:
009E24FD    36:77 36        ja short MapleElv.009E2536
009E2500    8A36            mov dh,byte ptr ds:[esi]
009E2502    9C              pushfd
009E2503    36:AF           scas dword ptr es:[edi]
009E2505    36:D936         fstenv (28-byte) ptr ss:[esi]
009E2508    EC              in al,dx
009E2509    36:1C 37        sbb al,37

用命令行下断点
at GetVersion来到这:

7C811277    90              nop
7C811278    90              nop
7C811279    90              nop
7C81127A >  64:A1 18000000  mov eax,dword ptr fs:[18]
7C811280    8B48 30         mov ecx,dword ptr ds:[eax+30]
7C811283    8B81 B0000000   mov eax,dword ptr ds:[ecx+B0]
7C811289    0FB791 AC000000 movzx edx,word ptr ds:[ecx+AC]
7C811290    83F0 FE         xor eax,FFFFFFFE
7C811293    C1E0 0E         shl eax,0E
7C811296    0BC2            or eax,edx
7C811298    C1E0 08         shl eax,8
7C81129B    0B81 A8000000   or eax,dword ptr ds:[ecx+A8]
7C8112A1    C1E0 08         shl eax,8
7C8112A4    0B81 A4000000   or eax,dword ptr ds:[ecx+A4]
7C8112AA    C3              retn             我在这下断程序跑飞
7C8112AB    90              nop
7C8112AC    90              nop
7C8112AD    90              nop
7C8112AE    90              nop
7C8112AF    90              nop
7C8112B0    8BFF            mov edi,edi
7C8112B2    55              push ebp
7C8112B3    8BEC            mov ebp,esp
7C8112B5    83EC 24         sub esp,24
7C8112B8    57              push edi
7C8112B9    6A 07           push 7
7C8112BB    33C0            xor eax,eax
7C8112BD    2145 FC         and dword ptr ss:[ebp-4],eax
7C8112C0    59              pop ecx
7C8112C1    8D7D E0         lea edi,dword ptr ss:[ebp-20]
7C8112C4    C745 DC 2000000>mov dword ptr ss:[ebp-24],20

各路大神我要怎么弄啊,,,,

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

上传的附件:
收藏
免费 0
支持
分享
最新回复 (6)
雪    币: 239
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
这个是nspack吗
确定的话ESP定律脱
2013-8-24 17:28
0
雪    币: 1632
活跃值: (13)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
根本不是,白折腾。
2013-8-24 20:43
0
雪    币: 6
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
不是吧,我用了很多版本PE查,要不就是查不出,能查出的也显示这个nSpack V2.X -> LiuXingPing *
上传的附件:
2013-8-25 23:59
0
雪    币: 239
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
上附件看看
2013-8-26 18:44
0
雪    币: 81
活跃值: (100)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
6
我看上来就push+jmp,EP地址9开头,就有一种VMP的感觉
2013-8-26 19:22
0
雪    币: 291
活跃值: (48)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
7
VMP  9成
2013-8-26 20:31
0
游客
登录 | 注册 方可回帖
返回
//