[原创]秒秒钟手脱Nspack3.7！-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[原创]秒秒钟手脱Nspack3.7！

发表于: 2006-9-26 11:33 7507

[原创]秒秒钟手脱Nspack3.7！

flong

2006-9-26 11:33

7507

【文章标题】: 秒秒钟手脱Nspack3.7！
【文章作者】: flong
【作者邮箱】: flong30[at]hotmail.com
【软件名称】: XP自带的NOTEPAD.exe
【加壳方式】: Nspack3.7
【使用工具】: OllyICE v1.10 修改版
【操作平台】: XP
【作者声明】: 只是感兴趣，没有其他目的。失误之处敬请诸位大侠赐教!
--------------------------------------------------------------------------------
【详细过程】
  先用Nspack3.7给XP自带的NOTEPAD.exe加壳，保存为Nspack.NOTEPAD.exe。

  用OllyICE载入Nspack.NOTEPAD.exe，停在：

  0101A126 >  9C             pushfd
  0101A127 60             pushad
  0101A128 E8 00000000    call 0101A12D
  0101A12D 5D             pop    ebp
  0101A12E 83ED 07       sub    ebp, 7
  0101A131 8D8D 4AFDFFFF lea    ecx, [ebp-2B6]
  0101A137 8039 01       cmp    byte ptr [ecx], 1
  0101A13A 0F84 42020000 je    0101A382

  F7几次跟入，到达0101A13A时，这个跳转比较远，第一次跳转未实现，右键－>跟随，来到

  0101A382 B8 00000000    mov    eax, 0

  F4执行到这里。再F7几次下去：

  0101A387 83F8 00       cmp    eax, 0
  0101A38A 74 0A          je    short 0101A396
  0101A38C 61             popad
  0101A38D 9D             popfd
  0101A38E B8 01000000    mov    eax, 1
  0101A393 C2 0C00       retn 0C
  0101A396 61             popad
  0101A397 9D             popfd
  0101A398  - E9 00D0FEFF    jmp    0100739D

  0101A398大跳转出来了，F7一次

  0100739D    6A          db    6A                            ;  CHAR 'j'
  0100739E    70          db    70                            ;  CHAR 'p'
  0100739F    68          db    68                            ;  CHAR 'h'
  010073A0    98          db    98
  010073A1    18          db    18
  010073A2    00          db    00

  在0100739D上面右键－>dump,保存下来。

  运行一下，全部正常。

--------------------------------------------------------------------------------
【版权声明】: 本文原创于看雪技术论坛, 转载请注明作者并保持文章的完整, 谢谢!

                                                   2006年09月25日下午 01:37:24

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

上传的附件：

nspack.notepad.rar （32.59kb，18次下载）

收藏・1

免费・0

支持

最新回复 (17)
voletech 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 127 粉丝 0 关注私信	voletech 2 楼这个看起来怎么好像很眼熟？ 2006-9-26 11:48 0
KAN 雪币： 263 活跃值： (10) 能力值： ( LV9，RANK：250 ) 在线值：发帖 11 回帖 589 粉丝 0 关注私信	KAN 6 3 楼 F8 一次来到这里 0042D48B 9C PUSHFD 0042D48C 60 PUSHAD ；F8 一次来到这里 ESP 变红右键点击ESP ，在数据窗口里跟随. 数据窗口被更新。在数据窗口的前4个字节选上，右键 ――断点―――硬件访问――双字点击F9，断下按 Ctrl+A，代码看起来可理解现在使用 OllyDump 插件DUMP 出来 2006-9-26 11:56 0
FetalError 雪币： 206 活跃值： (32) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 202 粉丝 0 关注私信	FetalError 4 楼学习！ 2006-9-26 12:01 0
foria 雪币： 177 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 33 粉丝 0 关注私信	foria 1 5 楼压缩壳，纯支持一下 2006-9-26 12:35 0
binbinbin 雪币： 405 活跃值： (10) 能力值： ( LV9，RANK：1130 ) 在线值：发帖 51 回帖 690 粉丝 0 关注私信	binbinbin 28 6 楼 1、我怎么一直按F8都能到达oep？？？（当然中间有往回跳的要F4下一句）。好像也不要象搂住那样那么麻烦呢？？？ 2、还有就是：先按一次F8，用硬件断点下 dd 0006FFC0 右键点数据窗口的第一条，断点－硬件访问－word。回车按F9。按F8。就得了。 2006-9-26 13:27 0
KuNgBiM 雪币： 817 活跃值： (1927) 能力值： ( LV12，RANK：2670 ) 在线值：发帖 500 回帖 2517 粉丝 21 关注私信	KuNgBiM 66 7 楼来个更简单的: 用OD载入后,Ctrl+S搜索以下代码: retn 0C popad popfd 找到这些代码后,发现目标代码下行有句: jmp XXXXXXXX // 这里F2下断,F9运行中断后一个F7就到OEP了.... 2006-9-26 16:24 0
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 91 回帖 2169 粉丝 5 关注私信	shoooo 16 8 楼来个更简单的当peid发现是nspack 3.7后 plugins->PEiD Generic Unpacker 收工 2006-9-26 16:31 0
winndy 雪币： 440 活跃值： (692) 能力值： ( LV9，RANK：690 ) 在线值：发帖 45 回帖 775 粉丝 1 关注私信	winndy 17 9 楼压缩壳可以用来训练找OEP 熟悉各编译工具编译出的代码的OEP的特征 2006-9-26 17:03 0
flong 雪币： 207 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 30 回帖 263 粉丝 0 关注私信	flong 10 楼八仙过海各显神通学习了 2006-9-26 22:14 0
fffddd 雪币： 239 活跃值： (52) 能力值： ( LV3，RANK：20 ) 在线值：发帖 37 回帖 447 粉丝 1 关注私信	fffddd 11 楼 shoooo的哪个美女头象不见了？ 2006-9-26 22:33 0
skylly 雪币： 304 活跃值： (82) 能力值： ( LV9，RANK：170 ) 在线值：发帖 70 回帖 1087 粉丝 2 关注私信	skylly 4 12 楼最初由 fffddd* 发布* shoooo的哪个美女头象不见了？你的还在不就行了 2006-9-27 09:01 0
douser 雪币： 208 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 39 粉丝 0 关注私信	douser 13 楼我按照这个方法做的，但是dump一个dll文件的时候，提示“无法读取被调试进程（00400000..00440FFF）的内存.”和“Bad DOS Signature!!”是怎么回事啊？ 2006-11-16 17:28 0
skylly 雪币： 304 活跃值： (82) 能力值： ( LV9，RANK：170 ) 在线值：发帖 70 回帖 1087 粉丝 2 关注私信	skylly 4 14 楼 anti dump, 按alt +m,显示内存map,在区段上右键,把每个区段的权限设为完全访问 2006-11-16 17:34 0
douser 雪币： 208 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 39 粉丝 0 关注私信	douser 15 楼从00400000到008c0000我都设成RWE了，还不行但有的地方是RWE CopyOnWr 其中4000000是LOADDLL，870000是PE文件头 2006-11-16 17:45 0
周新雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 16 粉丝 0 关注私信	周新 16 楼好。。学习中。。。。。。 2006-11-28 04:26 0
cppdev 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	cppdev 17 楼虽然看不懂, 但还要顶一下 2006-11-28 14:20 0
scship 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 217 粉丝 1 关注私信	scship 18 楼不知道高手是怎么脱壳步骤的？我是一拿到一个新软件就查壳（右键发送很快的嘛）然后就PEiD通用脱壳机试试。。。不行的话就手动ESP定律。。。不行就自己F8慢慢来。。。试了几次都不行就。。。上网找资料脱找不了就专门脱壳机脱。。。再不行就。。。郁闷的睡觉。。。第二天再说。。。 2006-11-28 22:19 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

flong

发帖

263

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (17)
voletech 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 127 粉丝 0 关注私信	voletech 2 楼这个看起来怎么好像很眼熟？ 2006-9-26 11:48 0
KAN 雪币： 263 活跃值： (10) 能力值： ( LV9，RANK：250 ) 在线值：发帖 11 回帖 589 粉丝 0 关注私信	KAN 6 3 楼 F8 一次来到这里 0042D48B 9C PUSHFD 0042D48C 60 PUSHAD ；F8 一次来到这里 ESP 变红右键点击ESP ，在数据窗口里跟随. 数据窗口被更新。在数据窗口的前4个字节选上，右键 ――断点―――硬件访问――双字点击F9，断下按 Ctrl+A，代码看起来可理解现在使用 OllyDump 插件DUMP 出来 2006-9-26 11:56 0
FetalError 雪币： 206 活跃值： (32) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 202 粉丝 0 关注私信	FetalError 4 楼学习！ 2006-9-26 12:01 0
foria 雪币： 177 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 33 粉丝 0 关注私信	foria 1 5 楼压缩壳，纯支持一下 2006-9-26 12:35 0
binbinbin 雪币： 405 活跃值： (10) 能力值： ( LV9，RANK：1130 ) 在线值：发帖 51 回帖 690 粉丝 0 关注私信	binbinbin 28 6 楼 1、我怎么一直按F8都能到达oep？？？（当然中间有往回跳的要F4下一句）。好像也不要象搂住那样那么麻烦呢？？？ 2、还有就是：先按一次F8，用硬件断点下 dd 0006FFC0 右键点数据窗口的第一条，断点－硬件访问－word。回车按F9。按F8。就得了。 2006-9-26 13:27 0
KuNgBiM 雪币： 817 活跃值： (1927) 能力值： ( LV12，RANK：2670 ) 在线值：发帖 500 回帖 2517 粉丝 21 关注私信	KuNgBiM 66 7 楼来个更简单的: 用OD载入后,Ctrl+S搜索以下代码: retn 0C popad popfd 找到这些代码后,发现目标代码下行有句: jmp XXXXXXXX // 这里F2下断,F9运行中断后一个F7就到OEP了.... 2006-9-26 16:24 0
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 91 回帖 2169 粉丝 5 关注私信	shoooo 16 8 楼来个更简单的当peid发现是nspack 3.7后 plugins->PEiD Generic Unpacker 收工 2006-9-26 16:31 0
winndy 雪币： 440 活跃值： (692) 能力值： ( LV9，RANK：690 ) 在线值：发帖 45 回帖 775 粉丝 1 关注私信	winndy 17 9 楼压缩壳可以用来训练找OEP 熟悉各编译工具编译出的代码的OEP的特征 2006-9-26 17:03 0
flong 雪币： 207 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 30 回帖 263 粉丝 0 关注私信	flong 10 楼八仙过海各显神通学习了 2006-9-26 22:14 0
fffddd 雪币： 239 活跃值： (52) 能力值： ( LV3，RANK：20 ) 在线值：发帖 37 回帖 447 粉丝 1 关注私信	fffddd 11 楼 shoooo的哪个美女头象不见了？ 2006-9-26 22:33 0
skylly 雪币： 304 活跃值： (82) 能力值： ( LV9，RANK：170 ) 在线值：发帖 70 回帖 1087 粉丝 2 关注私信	skylly 4 12 楼最初由 fffddd* 发布* shoooo的哪个美女头象不见了？你的还在不就行了 2006-9-27 09:01 0
douser 雪币： 208 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 39 粉丝 0 关注私信	douser 13 楼我按照这个方法做的，但是dump一个dll文件的时候，提示“无法读取被调试进程（00400000..00440FFF）的内存.”和“Bad DOS Signature!!”是怎么回事啊？ 2006-11-16 17:28 0
skylly 雪币： 304 活跃值： (82) 能力值： ( LV9，RANK：170 ) 在线值：发帖 70 回帖 1087 粉丝 2 关注私信	skylly 4 14 楼 anti dump, 按alt +m,显示内存map,在区段上右键,把每个区段的权限设为完全访问 2006-11-16 17:34 0
douser 雪币： 208 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 39 粉丝 0 关注私信	douser 15 楼从00400000到008c0000我都设成RWE了，还不行但有的地方是RWE CopyOnWr 其中4000000是LOADDLL，870000是PE文件头 2006-11-16 17:45 0
周新雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 16 粉丝 0 关注私信	周新 16 楼好。。学习中。。。。。。 2006-11-28 04:26 0
cppdev 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	cppdev 17 楼虽然看不懂, 但还要顶一下 2006-11-28 14:20 0
scship 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 217 粉丝 1 关注私信	scship 18 楼不知道高手是怎么脱壳步骤的？我是一拿到一个新软件就查壳（右键发送很快的嘛）然后就PEiD通用脱壳机试试。。。不行的话就手动ESP定律。。。不行就自己F8慢慢来。。。试了几次都不行就。。。上网找资料脱找不了就专门脱壳机脱。。。再不行就。。。郁闷的睡觉。。。第二天再说。。。 2006-11-28 22:19 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复