[原创]nPack压缩壳细脱菜鸟秀-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[原创]nPack压缩壳细脱菜鸟秀

发表于: 2006-4-15 20:09 12339

[原创]nPack压缩壳细脱菜鸟秀

peaceclub

2006-4-15 20:09

12339

[原创]nPack压缩壳细脱
[文件]:附件中,文件大小 13,312 字节,WinRoot的Dll_Load.exe
[作者]:PeaceClub
[声明]:只是给初学者一个Demo
过程阐述:

[窥视]:
用lordpe,打开section文件列表

最后一个 .nPack就是壳的解码段,原文件的段信息保存良好.

[行动A Dump]:
用Ollydbg打开Dll_load.exe,经调试分析

看了上面清晰的壳解码流程后,同志们应该知道如何去脱壳了吧.
OK,行动吧.建议采取的方法是光标到004062A9 dll加载处,F4
此刻脱壳是最清爽的.
OEP?oep呢?请看:

所以oep应该在 dword ptr [406f3c]+ dword ptr [406e00],直接Ctrl+G,输入[406f3c]+[406e00],Ctrl+A,

还等什么啊?脱壳吧.(请勿关闭刚才的ollydbg,后面还要用.)
lordpe或ollydump(ollydump中不要选择自动修复IAT)上,oep是1D60,修正一下,保存到dump.exe
[行动B IAT]:
此刻就能运行了吗?回答:No.因为iat地址还是指向在壳的地址上呢.
所以我们的工作是,寻找IAT开始.

在ollydbg数据区,Ctrl+G到4031c8(上面标记的那个api地址),向下滚动看到

看到第一个dll名MFC42.DLL的开始地址是 403A18,OK,我们向上搜索183A0000,找到后,根据iat结构,我们知道-0xC处就是我们iat的开始描述,结果是403798,好的,我们打开dump.exe,把iat的开始地址修改为 00003798,保存.
试一下,能运行了吧! 结束了?
当然,你可以选择结束.但如果作为完美主义者,那继续Go on
[行动C 文件优化]:
lordpe打开dump.exe,你会发现其实.nPack段的数据实际现在没用了,你可以放心cut掉,记住此section开始的位置,0x00006000,先把.nPack段擦除,然后拿16进制编辑器,把从0x6000往后的数据全部删除,保存.
看看文件大小24,576字节(原文件大小),
Lordpe Rebuild一下 13239字节.

[行动D 保护眼睛]:
休息一下,享受一下,身为菜鸟的你信心增长了吗?为自己的成功自豪吧!

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

example.zip （7.27kb，40次下载）

收藏・1

免费・7

支持

最新回复 (34) 1 2 ▶
堀北真希雪币： 207 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 403 粉丝 0 关注私信	堀北真希 1 2 楼 OD载入后 F8了几下，不小心就到oep了这个压缩壳的结构太清楚了 2006-4-15 20:17 0
peaceclub 雪币： 255 活跃值： (207) 能力值： ( LV9，RANK：250 ) 在线值：发帖 59 回帖 967 粉丝 1 关注私信	peaceclub 6 3 楼恩.很清晰,很适合菜鸟学习EXE执行过程,所以分析一下,并串插脱壳文件优化细节。 2006-4-15 20:22 0
fugue 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 35 粉丝 0 关注私信	fugue 4 楼又学一种方法 2006-4-15 20:23 0
kanxue 雪币： 47147 活跃值： (20380) 能力值： (RANK：350 ) 在线值：发帖 2374 回帖 17045 粉丝 538 关注私信	kanxue 8 5 楼最初由 peaceclub* 发布* 恩.很清晰,很适合菜鸟学习EXE执行过程,所以分析一下,并串插脱壳文件优化细节。恭喜peaceclub骗得一篇精华，突破5个，升级为中级会员 ;) 2006-4-15 20:42 0
peaceclub 雪币： 255 活跃值： (207) 能力值： ( LV9，RANK：250 ) 在线值：发帖 59 回帖 967 粉丝 1 关注私信	peaceclub 6 6 楼谢谢,偶是为菜鸟服务的好公仆啊。 2006-4-15 20:44 0
CCDebuger 雪币： 2506 活跃值： (1025) 能力值： (RANK：990 ) 在线值：发帖 390 回帖 1843 粉丝 90 关注私信	CCDebuger 24 7 楼支持公仆 2006-4-15 20:47 0
冷血书生雪币： 443 活跃值： (200) 能力值： ( LV9，RANK：1140 ) 在线值：发帖 53 回帖 1135 粉丝 2 关注私信	冷血书生 28 8 楼支持公仆 2006-4-15 20:58 0
快雪时晴雪币： 370 活跃值： (15) 能力值： ( LV9，RANK：170 ) 在线值：发帖 34 回帖 2272 粉丝 1 关注私信	快雪时晴 4 9 楼写的确实通俗易懂，论坛需要更多这样的文章。 2006-4-15 21:04 0
逍遥风雪币： 2256 活跃值： (941) 能力值： (RANK：2210 ) 在线值：发帖 84 回帖 363 粉丝 6 关注私信	逍遥风 55 10 楼代表菜鸟表示感谢 2006-4-15 21:10 0
jskew 雪币： 124 活跃值： (70) 能力值： ( LV4，RANK：50 ) 在线值：发帖 30 回帖 352 粉丝 0 关注私信	jskew 1 11 楼代表党中央感谢你 2006-4-15 22:02 0
fishsss 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 20 粉丝 0 关注私信	fishsss 12 楼我在精神上支持你哦 2006-4-15 22:25 0
hbqjxhw 雪币： 313 活跃值： (250) 能力值： ( LV9，RANK：650 ) 在线值：发帖 44 回帖 311 粉丝 0 关注私信	hbqjxhw 16 13 楼壳知识增长了不少 2006-4-16 11:38 0
qq7119 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 30 回帖 477 粉丝 0 关注私信	qq7119 14 楼你可以去S了情愿发外面也不发自己家门口 2006-4-16 13:56 0
behold 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	behold 15 楼谢谢楼主，我是菜鸟，学习中 2006-4-16 16:37 0
xiaoboy 雪币： 224 活跃值： (75) 能力值： ( LV6，RANK：90 ) 在线值：发帖 22 回帖 300 粉丝 0 关注私信	xiaoboy 2 16 楼不错的好文。学习了。 2006-4-16 21:37 0
skyege 雪币： 229 活跃值： (70) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 555 粉丝 0 关注私信	skyege 2 17 楼最初由 kanxue* 发布* 突破5个，升级为中级会员 ;) 只要 5 篇精华就是中级会员？？ 2006-4-16 21:52 0
kanxue 雪币： 47147 活跃值： (20380) 能力值： (RANK：350 ) 在线值：发帖 2374 回帖 17045 粉丝 538 关注私信	kanxue 8 18 楼最初由 skyege* 发布* 只要 5 篇精华就是中级会员？？精华>=5 && 发帖数>=200 2006-4-16 23:42 0
pcdiy 雪币： 212 活跃值： (24) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 9 粉丝 0 关注私信	pcdiy 19 楼哈,合我这等人看!谢谢 2006-4-16 23:50 0
usa 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 66 粉丝 0 关注私信	usa 20 楼最初由冷血书生* 发布* 支持公仆 2006-4-16 23:53 0
hjm 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 90 粉丝 0 关注私信	hjm 21 楼很适合菜鸟学习EXE执行过程 2006-4-17 10:44 0
silence 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	silence 22 楼 ,哎，看来真的是很菜呀，我dump之后用lordpe修复一下就可以使用了，而按照peaceclub所讲的步骤，将dump后的文件入口点用lordpe修改成00003798根本就不行，还有就是我连“向上搜索183A0000”这句如何实现根本就不知道， “lordpe打开dump.exe,你会发现其实.nPack段的数据实际现在没用了”如何判断的了？麻烦peaceclub将 “我们向上搜索183A0000,找到后,根据iat结构,我们知道-0xC处就是我们iat的开始描述,结果是403798,好的,我们打开dump.exe,把iat的开始地址修改为 ……”这些讲的更详细一些吗？就作为科普吧 2006-4-17 15:13 0
菜儿雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 193 粉丝 0 关注私信	菜儿 23 楼哈,合我这等人看!谢谢 2006-4-18 07:52 0
hbqjxhw 雪币： 313 活跃值： (250) 能力值： ( LV9，RANK：650 ) 在线值：发帖 44 回帖 311 粉丝 0 关注私信	hbqjxhw 16 24 楼好文学习。 2006-4-18 19:50 0
gstk 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 13 粉丝 0 关注私信	gstk 25 楼老大给加了精，可能就有过人之处吧！ 2006-4-19 14:45 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

peaceclub

发帖

967

回帖

250

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (34) 1 2 ▶
堀北真希雪币： 207 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 403 粉丝 0 关注私信	堀北真希 1 2 楼 OD载入后 F8了几下，不小心就到oep了这个压缩壳的结构太清楚了 2006-4-15 20:17 0
peaceclub 雪币： 255 活跃值： (207) 能力值： ( LV9，RANK：250 ) 在线值：发帖 59 回帖 967 粉丝 1 关注私信	peaceclub 6 3 楼恩.很清晰,很适合菜鸟学习EXE执行过程,所以分析一下,并串插脱壳文件优化细节。 2006-4-15 20:22 0
fugue 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 35 粉丝 0 关注私信	fugue 4 楼又学一种方法 2006-4-15 20:23 0
kanxue 雪币： 47147 活跃值： (20380) 能力值： (RANK：350 ) 在线值：发帖 2374 回帖 17045 粉丝 538 关注私信	kanxue 8 5 楼最初由 peaceclub* 发布* 恩.很清晰,很适合菜鸟学习EXE执行过程,所以分析一下,并串插脱壳文件优化细节。恭喜peaceclub骗得一篇精华，突破5个，升级为中级会员 ;) 2006-4-15 20:42 0
peaceclub 雪币： 255 活跃值： (207) 能力值： ( LV9，RANK：250 ) 在线值：发帖 59 回帖 967 粉丝 1 关注私信	peaceclub 6 6 楼谢谢,偶是为菜鸟服务的好公仆啊。 2006-4-15 20:44 0
CCDebuger 雪币： 2506 活跃值： (1025) 能力值： (RANK：990 ) 在线值：发帖 390 回帖 1843 粉丝 90 关注私信	CCDebuger 24 7 楼支持公仆 2006-4-15 20:47 0
冷血书生雪币： 443 活跃值： (200) 能力值： ( LV9，RANK：1140 ) 在线值：发帖 53 回帖 1135 粉丝 2 关注私信	冷血书生 28 8 楼支持公仆 2006-4-15 20:58 0
快雪时晴雪币： 370 活跃值： (15) 能力值： ( LV9，RANK：170 ) 在线值：发帖 34 回帖 2272 粉丝 1 关注私信	快雪时晴 4 9 楼写的确实通俗易懂，论坛需要更多这样的文章。 2006-4-15 21:04 0
逍遥风雪币： 2256 活跃值： (941) 能力值： (RANK：2210 ) 在线值：发帖 84 回帖 363 粉丝 6 关注私信	逍遥风 55 10 楼代表菜鸟表示感谢 2006-4-15 21:10 0
jskew 雪币： 124 活跃值： (70) 能力值： ( LV4，RANK：50 ) 在线值：发帖 30 回帖 352 粉丝 0 关注私信	jskew 1 11 楼代表党中央感谢你 2006-4-15 22:02 0
fishsss 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 20 粉丝 0 关注私信	fishsss 12 楼我在精神上支持你哦 2006-4-15 22:25 0
hbqjxhw 雪币： 313 活跃值： (250) 能力值： ( LV9，RANK：650 ) 在线值：发帖 44 回帖 311 粉丝 0 关注私信	hbqjxhw 16 13 楼壳知识增长了不少 2006-4-16 11:38 0
qq7119 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 30 回帖 477 粉丝 0 关注私信	qq7119 14 楼你可以去S了情愿发外面也不发自己家门口 2006-4-16 13:56 0
behold 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	behold 15 楼谢谢楼主，我是菜鸟，学习中 2006-4-16 16:37 0
xiaoboy 雪币： 224 活跃值： (75) 能力值： ( LV6，RANK：90 ) 在线值：发帖 22 回帖 300 粉丝 0 关注私信	xiaoboy 2 16 楼不错的好文。学习了。 2006-4-16 21:37 0
skyege 雪币： 229 活跃值： (70) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 555 粉丝 0 关注私信	skyege 2 17 楼最初由 kanxue* 发布* 突破5个，升级为中级会员 ;) 只要 5 篇精华就是中级会员？？ 2006-4-16 21:52 0
kanxue 雪币： 47147 活跃值： (20380) 能力值： (RANK：350 ) 在线值：发帖 2374 回帖 17045 粉丝 538 关注私信	kanxue 8 18 楼最初由 skyege* 发布* 只要 5 篇精华就是中级会员？？精华>=5 && 发帖数>=200 2006-4-16 23:42 0
pcdiy 雪币： 212 活跃值： (24) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 9 粉丝 0 关注私信	pcdiy 19 楼哈,合我这等人看!谢谢 2006-4-16 23:50 0
usa 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 66 粉丝 0 关注私信	usa 20 楼最初由冷血书生* 发布* 支持公仆 2006-4-16 23:53 0
hjm 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 90 粉丝 0 关注私信	hjm 21 楼很适合菜鸟学习EXE执行过程 2006-4-17 10:44 0
silence 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	silence 22 楼 ,哎，看来真的是很菜呀，我dump之后用lordpe修复一下就可以使用了，而按照peaceclub所讲的步骤，将dump后的文件入口点用lordpe修改成00003798根本就不行，还有就是我连“向上搜索183A0000”这句如何实现根本就不知道， “lordpe打开dump.exe,你会发现其实.nPack段的数据实际现在没用了”如何判断的了？麻烦peaceclub将 “我们向上搜索183A0000,找到后,根据iat结构,我们知道-0xC处就是我们iat的开始描述,结果是403798,好的,我们打开dump.exe,把iat的开始地址修改为 ……”这些讲的更详细一些吗？就作为科普吧 2006-4-17 15:13 0
菜儿雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 193 粉丝 0 关注私信	菜儿 23 楼哈,合我这等人看!谢谢 2006-4-18 07:52 0
hbqjxhw 雪币： 313 活跃值： (250) 能力值： ( LV9，RANK：650 ) 在线值：发帖 44 回帖 311 粉丝 0 关注私信	hbqjxhw 16 24 楼好文学习。 2006-4-18 19:50 0
gstk 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 13 粉丝 0 关注私信	gstk 25 楼老大给加了精，可能就有过人之处吧！ 2006-4-19 14:45 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复