nspack

北斗压缩

最初由 风再起时 发布
问下 数据如下 首字节 9C,60,E8,00

EP区段 .nsp1

PEID 094 显示 什么也没发现 查了下全部加了壳

不能用区段名来判断是什么壳的，举个例子，假如我现在用asprotect给软件加了个壳，然后用LordPe将各区段改成nsp1，难道大家都认为是北斗吗?

这也是我当时判断如下贴楼主给出壳失误的地方
http://bbs.pediy.com/showthread.php?s=&threadid=31062
轻易的说出了北斗，实际上是007，大家都知道007是可以改区段名的，壳已经放到该贴中，大家下载测试下就知道了。

我查了下资料 也发觉是北斗

但是我脱的时候F9 就无限循环

我不是太懂 能给点提示吗 谢谢各位热心人

首先我说明下 这个是dll 资源文件  非病毒 非木马或者外挂

我只想自己研究下 大家提点意见 那些壳可以被这样改的

我在仔细看下特征

如果确实是北斗的话，直接用esp定律

问题我用F8 不跳 2下才跳

F9 就无限循环运行 无知如何用ESP了

00F721E2 >  9C              pushfd //看这里特征很像北斗的壳
00F721E3    60              pushad
00F721E4    E8 00000000     call    00F721E9
00F721E9    5D              pop     ebp
00F721EA    83ED 07         sub     ebp, 7
00F721ED    8D8D 5EFCFFFF   lea     ecx, [ebp-3A2]
00F721F3    8039 01         cmp     [byte ecx], 1
00F721F6    0F84 42020000   je      00F7243E
00F721FC    C601 01         mov     [byte ecx], 1
00F721FF    8BC5            mov     eax, ebp
00F72201    2B85 F2FBFFFF   sub     eax, [ebp-40E]
00F72207    8985 F2FBFFFF   mov     [ebp-40E], eax
00F7220D    0185 22FCFFFF   add     [ebp-3DE], eax

我进入 F8 不肯到60 再F8 到60 hr ESP 再F9 就无限循环了

00F721E4    E8 00000000     call    00F721E9
观察esp的值，对esp的值进行硬件访问断点
he esp
上面的esp是具体的值。

最后感谢大家 太谢谢了 脱壳成功~

最后感谢大家 太谢谢了 脱壳成功~

最后献出破文 希望对 其他朋友有帮助 其实很简单的一个壳

工具 OD PEID 0.94

加壳文件  北斗加壳的DLL文件 版本不详

PEID查壳 首字节 9C,60,E8,00

         EP区段 .nsp1 看上去像北都 一般我个人认为不改的话是壳的名字

         PEID 094 显示 什么也没发现 查了下全部加了壳

打开OD

00F721E2 >  9C              pushfd //看这里特征很像北斗的壳（我和其他北斗壳的文章做了比较发觉滴）//F8
00F721E3    60              pushad//F8
00F721E4    E8 00000000     call //2下F8后到了这里 看ESP
hr 0006F6F8 再F8

00F721E9    5D              pop     ebp //跳到了这 再F9
00F721EA    83ED 07         sub     ebp, 7
00F721ED    8D8D 5EFCFFFF   lea     ecx, [ebp-3A2]
00F721F3    8039 01         cmp     [byte ecx], 1
00F721F6    0F84 42020000   je      00F7243E
00F721FC    C601 01         mov     [byte ecx], 1
00F721FF    8BC5            mov     eax, ebp
00F72201    2B85 F2FBFFFF   sub     eax, [ebp-40E]
00F72207    8985 F2FBFFFF   mov     [ebp-40E], eax
00F7220D    0185 22FCFFFF   add     [ebp-3DE], eax

00F72453    9D              popfd  //
F9后到了这里 F8
00F72454  - E9 EBA0FBFF     jmp     00F2C544 //跳到了这里 终于搞定了 再F8大跳
00F72459    8BB5 EAFBFFFF   mov     esi, [ebp-416]
00F7245F    0BF6            or      esi, esi
00F72461    0F84 97000000   je      00F724FE
00F72467    8B95 F2FBFFFF   mov     edx, [ebp-40E]
00F7246D    03F2            add     esi, edx
00F7246F    833E 00         cmp     [dword esi], 0
00F72472    75 0E           jnz     short 00F72482
00F72474    837E 04 00      cmp     [dword esi+4], 0
00F72478    75 08           jnz     short 00F72482
00F7247A    837E 08 00      cmp     [dword esi+8], 0
00F7247E    75 02           jnz     short 00F72482
00F72480    EB 7A           jmp     short 00F724FC

到这里脱壳完成 可以抓取内存映像了DUMP了

这说点 用 OLLYDUMP 这个插件抓 LordPE DLX增强版这个没用

DLL 根本不运行 但是 OD 的插件可以搞定~

00F2C544      55            db      55                               ;  CHAR 'U'
00F2C545      8B            db      8B
00F2C546      EC            db      EC
00F2C547      83            db      83
00F2C548      C4            db      C4
00F2C549      B4            db      B4
00F2C54A      B8            db      B8
00F2C54B      8C            db      8C
00F2C54C      C2            db      C2
00F2C54D      F2            db      F2
00F2C54E      00            db      00
00F2C54F      E8            db      E8
00F2C550      A8            db      A8
00F2C551      C2            db      C2
00F2C552      F5            db      F5
00F2C553      FF            db      FF
00F2C554      68            db      68                               ;  CHAR 'h'

最后特别要谢谢楼下几位热心人~~

DLL脱壳要重定位

其实也不是什么高技术的东西 一个2次加密dll

我把主文件已经脱了 这个没见过 所以问大家

查了下主程序的导入表 dll 修复下 OK了 楼上说的没错

因为我主要说脱壳 修复就过滤了 因为修复要主文件

才能修复的 否则 根本不知道 他表的位置