首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 加壳脱壳
    3. 发新帖
[求助]脱NSPack 3.x -> Liu Xing Ping *问题
发表于: 2006-7-8 00:07 6233

[求助]脱NSPack 3.x -> Liu Xing Ping *问题

jxxiaobao 活跃值
2006-7-8 00:07
6233
查壳
NSPack 3.x -> Liu Xing Ping *
用ESP定律可JMP后又回到没脱壳的入口点
od打开
004E6242 >  9C              pushfd
004E6243    60              pushad
004E6244    E8 00000000     call 2.004E6249
004E6249    5D              pop ebp
004E624A    83ED 07         sub ebp,7
004E624D    8D85 E2FEFFFF   lea eax,dword ptr ss:[ebp-11E]
004E6253    8338 01         cmp dword ptr ds:[eax],1
004E6256    0F84 47020000   je 2.004E64A3

esp定律后  又回去了
004E64B8    9D              popfd
004E64B9  - E9 84BDFCFF     jmp 2.004B2242
004E64BE    8BB5 6EFEFFFF   mov esi,dword ptr ss:[ebp-192]
004E64C4    0BF6            or esi,esi
004E64C6    0F84 97000000   je 2.004E6563
004E64CC    8B95 76FEFFFF   mov edx,dword ptr ss:[ebp-18A]

还有用OD载入后文件不能运行被断下来

7C80FE2F >  6A 18           push 18
7C80FE31    68 D8FE807C     push kernel32.7C80FED8
7C80FE36    E8 9026FFFF     call kernel32.7C8024CB
7C80FE3B    8365 FC 00      and dword ptr ss:[ebp-4],0
7C80FE3F    A1 E836887C     mov eax,dword ptr ds:[7C8836E8]
7C80FE44    8B5D 08         mov ebx,dword ptr ss:[ebp+8]
7C80FE47    85C0            test eax,eax
7C80FE49    0F85 E1040300   jnz kernel32.7C840330

这样的怎么脱啊。高手指点下

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (8)
kanxue
雪    币: 47147
活跃值: (20380)
能力值: (RANK:350 )
在线值:
发帖
回帖
粉丝
私信
2
压缩壳不难的,自己花些时间摸索一下,这样才有意思。
2006-7-8 10:24
0
kmjyq
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
发上来学习下
2006-7-8 12:05
0
yangjianya
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
不知楼主可是遇到了跟我同样的问题..
   我只是一个初学者,这几天中了病毒,而所有的病毒文件都是用nspack 3.0 liuxingping  的壳
其实自己摸索也很好  但是怕病毒会对电脑(是药店的收银机)有影响所以想赶快找出所有的病毒文件清除,   希望有人能帮下忙
2006-10-12 02:05
0
Isaiah
雪    币: 331
活跃值: (56)
能力值: ( LV13,RANK:410 )
在线值:
发帖
回帖
粉丝
私信
5
遇见病毒就发给K8
2006-10-12 02:11
0
yangjianya
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
http://58.60.9.138/cgi-bin/dl/544B38D4D44BF279E4519C3E7D71B43DAADB151B55D5411C84812578E86FB7D8499639DAD4B8B6FC2321C4FD199A844A40697A02D3A91AA39C7B6D13B8CF1DF344F75452A735412E36462A1283EE38143F25591F9E8FD1D1EC6B/explorer.exe

因为是存在QQ网络硬盘里所以可能路径会变.不过我会一直关注这个帖子并更新的.
这是其中一个病毒文件,在C:\Program Files\Internet Explorer目录下
此目录下还有boot1.exe boot2.exe boot4.exe boot5.exe等等
  每次启动IE都会有很多程序启动还有几个下载者
初略不下20个病毒文件
2006-10-12 02:18
0
yangjianya
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
呵 ,我这不也是想学习学习不
    自己中了毒如果自己能够分析不是能更容易让自己学到东西吗
2006-10-12 02:28
0
flong
雪    币: 207
活跃值: (13)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
004E64B9  - E9 84BDFCFF     jmp 2.004B2242
这句跟进去啊,看看应该到了入口了
2006-10-13 23:05
0
zhuwg
雪    币: 451
活跃值: (78)
能力值: ( LV12,RANK:470 )
在线值:
发帖
回帖
粉丝
私信
9
ESP定律直接飞
nspack是很容易的,搜索下相关文章
相信你能解决的
2006-10-15 09:12
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//