-
-
关于NsPack请高手指点一下
-
发表于:
2006-6-17 20:10
4742
-
软件用peid0.94查为nothing
在od中载入后显示
006F0B6D > 9C PUSHFD
006F0B6E 60 PUSHAD
006F0B6F E8 00000000 CALL 006F0B74
006F0B74 5D POP EBP
006F0B75 83ED 07 SUB EBP,7
006F0B78 8D8D 17FCFFFF LEA ECX,DWORD PTR SS:[EBP-3E9]
006F0B7E 8039 01 CMP BYTE PTR DS:[ECX],1
006F0B81 0F84 42020000 JE 006F0DC9
因此判断为Nspack壳,按照脱该壳的教程到
006F0DD4 9D POPFD
006F0DD5 B8 01000000 MOV EAX,1
006F0DDA C2 0C00 RETN 0C
006F0DDD 61 POPAD
006F0DDE 9D POPFD
006F0DDF -E9 1C02D1FF JMP 00401000
此处00401000处本应是oep
但在该程序中却是如此形式
00401000 . 68 01106B00 PUSH 006B1001
00401005 . E8 01000000 CALL 0040100B
0040100A . C3 RETN
0040100B $ C3 RETN
0040100C . C2 3314 RETN 1433
0040100F 5E DB 5E ; CHAR '^'
00401010 F0 DB F0
00401011 9C DB 9C
00401012 64 DB 64 ; CHAR 'd'
00401013 B6 DB B6
不知是怎么回事,希望高手能指点一二
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课