首页
社区
课程
招聘
[原创]nPack压缩壳细脱菜鸟秀
发表于: 2006-4-15 20:09 12373

[原创]nPack压缩壳细脱菜鸟秀

2006-4-15 20:09
12373

[原创]nPack压缩壳细脱
[文件]:附件中,文件大小 13,312 字节,WinRoot的Dll_Load.exe
[作者]:PeaceClub 
[声明]:只是给初学者一个Demo
过程阐述:

[窥视]:
用lordpe,打开section文件列表

最后一个 .nPack就是壳的解码段,原文件的段信息保存良好.

[行动A Dump]:
用Ollydbg打开Dll_load.exe,经调试分析


看了上面清晰的壳解码流程后,同志们应该知道如何去脱壳了吧.
OK,行动吧.建议采取的方法是光标到004062A9  dll加载处,F4
此刻脱壳是最清爽的.
OEP?oep呢?请看:


所以oep应该在 dword ptr [406f3c]+ dword ptr [406e00],直接Ctrl+G,输入[406f3c]+[406e00],Ctrl+A,


还等什么啊?脱壳吧.(请勿关闭刚才的ollydbg,后面还要用.)
lordpe或ollydump(ollydump中不要选择自动修复IAT)上,oep是1D60,修正一下,保存到dump.exe
[行动B IAT]:
此刻就能运行了吗?回答:No.因为iat地址还是指向在壳的地址上呢.
所以我们的工作是,寻找IAT开始.

在ollydbg数据区,Ctrl+G到4031c8(上面标记的那个api地址),向下滚动看到


看到第一个dll名MFC42.DLL的开始地址是 403A18,OK,我们向上搜索183A0000,找到后,根据iat结构,我们知道-0xC处就是我们iat的开始描述,结果是403798,好的,我们打开dump.exe,把iat的开始地址修改为 00003798,保存.
试一下,能运行了吧! 结束了?
当然,你可以选择结束.但如果作为完美主义者,那继续Go on
[行动C 文件优化]:
lordpe打开dump.exe,你会发现其实.nPack段的数据实际现在没用了,你可以放心cut掉,记住此section开始的位置,0x00006000,先把.nPack段擦除,然后拿16进制编辑器,把从0x6000往后的数据全部删除,保存.
看看文件大小24,576字节(原文件大小),
Lordpe Rebuild一下 13239字节.

[行动D 保护眼睛]:
休息一下,享受一下,身为菜鸟的你信心增长了吗?为自己的成功自豪吧!


[招生]系统0day安全班,企业级设备固件漏洞挖掘,Linux平台漏洞挖掘!

上传的附件:
收藏
免费 7
支持
分享
最新回复 (34)
雪    币: 207
活跃值: (40)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
2
OD载入后
F8了几下,不小心就到oep了
这个压缩壳的结构太清楚了
2006-4-15 20:17
0
雪    币: 255
活跃值: (207)
能力值: ( LV9,RANK:250 )
在线值:
发帖
回帖
粉丝
3
恩.很清晰,很适合菜鸟学习EXE执行过程,所以分析一下,并串插脱壳文件优化细节。
2006-4-15 20:22
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
又学一种方法
2006-4-15 20:23
0
雪    币: 50161
活跃值: (20665)
能力值: (RANK:350 )
在线值:
发帖
回帖
粉丝
5
最初由 peaceclub 发布
恩.很清晰,很适合菜鸟学习EXE执行过程,所以分析一下,并串插脱壳文件优化细节。


恭喜peaceclub骗得一篇精华,突破5个,升级为中级会员 ;)
2006-4-15 20:42
0
雪    币: 255
活跃值: (207)
能力值: ( LV9,RANK:250 )
在线值:
发帖
回帖
粉丝
6
谢谢,偶是为菜鸟服务的好公仆啊。
2006-4-15 20:44
0
雪    币: 2506
活跃值: (1030)
能力值: (RANK:990 )
在线值:
发帖
回帖
粉丝
7
支持公仆
2006-4-15 20:47
0
雪    币: 443
活跃值: (200)
能力值: ( LV9,RANK:1140 )
在线值:
发帖
回帖
粉丝
8
支持公仆
2006-4-15 20:58
0
雪    币: 370
活跃值: (15)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
9
写的确实通俗易懂,论坛需要更多这样的文章。
2006-4-15 21:04
0
雪    币: 2256
活跃值: (941)
能力值: (RANK:2210 )
在线值:
发帖
回帖
粉丝
10
代表菜鸟表示感谢
2006-4-15 21:10
0
雪    币: 124
活跃值: (70)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
11
代表党中央感谢你
2006-4-15 22:02
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
我在精神上支持你哦
2006-4-15 22:25
0
雪    币: 313
活跃值: (250)
能力值: ( LV9,RANK:650 )
在线值:
发帖
回帖
粉丝
13
壳知识增长了不少
2006-4-16 11:38
0
雪    币: 207
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
你可以去S了
情愿 发外面也不发自己家门口
2006-4-16 13:56
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
15
谢谢楼主,我是菜鸟,学习中
2006-4-16 16:37
0
雪    币: 224
活跃值: (75)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
16
不错的好文。学习了。
2006-4-16 21:37
0
雪    币: 229
活跃值: (70)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
17
最初由 kanxue 发布
突破5个,升级为中级会员 ;)


只要 5 篇精华就是中级会员??
2006-4-16 21:52
0
雪    币: 50161
活跃值: (20665)
能力值: (RANK:350 )
在线值:
发帖
回帖
粉丝
18
最初由 skyege 发布
只要 5 篇精华就是中级会员??


精华>=5 && 发帖数>=200
2006-4-16 23:42
0
雪    币: 212
活跃值: (24)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
19
哈,合我这等人看!谢谢
2006-4-16 23:50
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
usa
20
最初由 冷血书生 发布
支持公仆
2006-4-16 23:53
0
雪    币: 203
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
hjm
21
很适合菜鸟学习EXE执行过程
2006-4-17 10:44
0
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
22
,哎,看来真的是很菜呀,我dump之后用lordpe修复一下就可以使用了,而按照peaceclub所讲的步骤,将dump后的文件入口点用lordpe修改成00003798根本就不行,还有就是我连“向上搜索183A0000”这句如何实现根本就不知道,
“lordpe打开dump.exe,你会发现其实.nPack段的数据实际现在没用了”如何判断的了?
麻烦peaceclub将
“我们向上搜索183A0000,找到后,根据iat结构,我们知道-0xC处就是我们iat的开始描述,结果是403798,好的,我们打开dump.exe,把iat的开始地址修改为 ……”这些讲的更详细一些吗?就作为科普吧
2006-4-17 15:13
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
23
哈,合我这等人看!谢谢
2006-4-18 07:52
0
雪    币: 313
活跃值: (250)
能力值: ( LV9,RANK:650 )
在线值:
发帖
回帖
粉丝
24
好文学习。
2006-4-18 19:50
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
25
老大给加了精,可能就有过人之处吧!
2006-4-19 14:45
0
游客
登录 | 注册 方可回帖
返回
//