首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 付费问答
    3. 发新帖
[旧帖] [求助]谁能帮我看看这个壳怎么脱 0.00雪花
发表于: 2007-3-1 23:07 4105

[旧帖] [求助]谁能帮我看看这个壳怎么脱 0.00雪花

will 活跃值
2007-3-1 23:07
4105
这个程序查出来应该是北斗壳
但是调试的时候却屡屡找不到OEP
网上的一些脱北斗壳的方法也没有用
本来想拿来练练手的
结果却脱不成
谁能帮助我一下
给点提示也行!谢谢!

文件传到live-share.com上去了
打开时候会弹出个网页
不过不是病毒

http://www.live-share.com/files/168962/NsPack.exe.html

[课程]Linux pwn 探索篇!

收藏
免费 0
支持
分享
最新回复 (8)
will
雪    币: 206
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
谁来帮助一下?我是新手...
2007-3-2 20:50
0
无心快语
雪    币: 0
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
谁来帮助一下?我是新手...
2007-3-2 22:01
0
无心快语
雪    币: 0
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
谁来帮助一下?我是新手...谁来帮助一下?我是新手...
2007-3-2 22:01
0
fly
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
私信
5
你在第2区段设置内存访问断点
忽略所有异常选项
Shift+F9

010F0273     880429                mov byte ptr ds:[ecx+ebp],al
//中断这里,取消内存断点
010F0276     45                    inc ebp
010F0277     3B6C24 60             cmp ebp,dword ptr ss:[esp+60]
010F027B     0F82 20FFFFFF         jb 010F01A1
010F0281     5F                    pop edi
010F0282     5E                    pop esi
010F0283     5D                    pop ebp
010F0284     33C0                  xor eax,eax
010F0286     5B                    pop ebx
010F0287     83C4 2C               add esp,2C
010F028A     C3                    retn
//F4到这里

再在第2区段设置内存访问断点
Shift+F9

00411807     8A07                  mov al,byte ptr ds:[edi]
//中断这里,取消内存断点
00411809     47                    inc edi
0041180A     2C E8                 sub al,0E8
0041180C     3C 01                 cmp al,1
0041180E     77 F7                 ja short 00411807
00411810     8B07                  mov eax,dword ptr ds:[edi]
00411812     807A 01 00            cmp byte ptr ds:[edx+1],0
00411816     74 14                 je short 0041182C
00411818     8A1A                  mov bl,byte ptr ds:[edx]
0041181A     381F                  cmp byte ptr ds:[edi],bl
0041181C     75 E9                 jnz short 00411807
0041181E     8A5F 04               mov bl,byte ptr ds:[edi+4]
00411821     66:C1E8 08            shr ax,8
00411825     C1C0 10               rol eax,10
00411828     86C4                  xchg ah,al
0041182A     EB 0A                 jmp short 00411836
0041182C     8A5F 04               mov bl,byte ptr ds:[edi+4]
0041182F     86C4                  xchg ah,al
00411831     C1C0 10               rol eax,10
00411834     86C4                  xchg ah,al
00411836     2BC7                  sub eax,edi
00411838     03C6                  add eax,esi
0041183A     8907                  mov dword ptr ds:[edi],eax
0041183C     83C7 05               add edi,5
0041183F     80EB E8               sub bl,0E8
00411842     8BC3                  mov eax,ebx
00411844     E2 C6                 loopd short 0041180C
00411846     E8 D3000000           call 0041191E
0041184B     8D8D 20FEFFFF         lea ecx,dword ptr ss:[ebp-1E0]
00411851     8B41 04               mov eax,dword ptr ds:[ecx+4]
00411854     83F8 00               cmp eax,0
00411857     0F84 81000000         je 004118DE
0041185D     8BF2                  mov esi,edx
0041185F     2B71 08               sub esi,dword ptr ds:[ecx+8]
00411862     74 7A                 je short 004118DE
00411864     8971 08               mov dword ptr ds:[ecx+8],esi
00411867     8B01                  mov eax,dword ptr ds:[ecx]
00411869     8DB5 30FEFFFF         lea esi,dword ptr ss:[ebp-1D0]
0041186F     8B36                  mov esi,dword ptr ds:[esi]
00411871     8D5E FC               lea ebx,dword ptr ds:[esi-4]
00411874     83F8 01               cmp eax,1
00411877     74 0A                 je short 00411883
00411879     8BFA                  mov edi,edx
0041187B     0379 04               add edi,dword ptr ds:[ecx+4]
0041187E     8B49 08               mov ecx,dword ptr ds:[ecx+8]
00411881     EB 08                 jmp short 0041188B
00411883     8BFE                  mov edi,esi
00411885     0379 04               add edi,dword ptr ds:[ecx+4]
00411888     8B49 08               mov ecx,dword ptr ds:[ecx+8]
0041188B     33C0                  xor eax,eax
0041188D     8A07                  mov al,byte ptr ds:[edi]
0041188F     47                    inc edi
00411890     0BC0                  or eax,eax
00411892     74 20                 je short 004118B4
00411894     3C EF                 cmp al,0EF
00411896     77 06                 ja short 0041189E
00411898     03D8                  add ebx,eax
0041189A     010B                  add dword ptr ds:[ebx],ecx
0041189C     EB ED                 jmp short 0041188B
0041189E     24 0F                 and al,0F
004118A0     C1E0 10               shl eax,10
004118A3     66:8B07               mov ax,word ptr ds:[edi]
004118A6     83C7 02               add edi,2
004118A9     0BC0                  or eax,eax
004118AB     75 EB                 jnz short 00411898
004118AD     8B07                  mov eax,dword ptr ds:[edi]
004118AF     83C7 04               add edi,4
004118B2     EB E4                 jmp short 00411898
004118B4     33DB                  xor ebx,ebx
004118B6     87FE                  xchg esi,edi
004118B8     8B06                  mov eax,dword ptr ds:[esi]
004118BA     83F8 00               cmp eax,0
004118BD     74 1F                 je short 004118DE
004118BF     AD                    lods dword ptr ds:[esi]
004118C0     0BC0                  or eax,eax
004118C2     74 08                 je short 004118CC
004118C4     03D8                  add ebx,eax
004118C6     66:010C3B             add word ptr ds:[ebx+edi],cx
004118CA     EB F3                 jmp short 004118BF
004118CC     33DB                  xor ebx,ebx
004118CE     C1E9 10               shr ecx,10
004118D1     AD                    lods dword ptr ds:[esi]
004118D2     0BC0                  or eax,eax
004118D4     74 08                 je short 004118DE
004118D6     03D8                  add ebx,eax
004118D8     66:010C3B             add word ptr ds:[ebx+edi],cx
004118DC     EB F3                 jmp short 004118D1
004118DE     8BDD                  mov ebx,ebp
004118E0     81EB BD000000         sub ebx,0BD
004118E6     33C9                  xor ecx,ecx
004118E8     8A0B                  mov cl,byte ptr ds:[ebx]
004118EA     83F9 00               cmp ecx,0
004118ED     74 28                 je short 00411917
004118EF     43                    inc ebx
004118F0     8DB5 E0FDFFFF         lea esi,dword ptr ss:[ebp-220]
004118F6     8B16                  mov edx,dword ptr ds:[esi]
004118F8     56                    push esi
004118F9     51                    push ecx
004118FA     53                    push ebx
004118FB     52                    push edx
004118FC     56                    push esi
004118FD     FF33                  push dword ptr ds:[ebx]
004118FF     FF73 04               push dword ptr ds:[ebx+4]
00411902     8B43 08               mov eax,dword ptr ds:[ebx+8]
00411905     03C2                  add eax,edx
00411907     50                    push eax
00411908     FF95 4CFEFFFF         call dword ptr ss:[ebp-1B4]
0041190E     5A                    pop edx
0041190F     5B                    pop ebx
00411910     59                    pop ecx
00411911     5E                    pop esi
00411912     83C3 0C               add ebx,0C
00411915     E2 E1                 loopd short 004118F8
00411917     61                    popad
00411918     9D                    popfd
00411919     E9 4AF9FEFF           jmp 00401268
//这里就是跳OEP了

00401268     68 78A24000           push 40A278
//OEP
0040126D     E8 EEFFFFFF           call 00401260 ; jmp to MSVBVM60.ThunRTMain
2007-3-2 22:58
0
四位数
雪    币: 0
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
向楼上的朋友致敬
2007-3-3 17:40
0
will
雪    币: 206
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
非常感谢fly大侠的无私帮助
问题已经解决了
能否说明一下这是一种什么脱壳方法?
还有,这个程序加的是不是北斗的变形壳呢?
2007-3-4 14:04
0
Ajampie
雪    币: 207
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
来了,就看看吧
2007-3-16 10:27
0
fly
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
私信
9
最初由 will 发布
非常感谢fly大侠的无私帮助
问题已经解决了
能否说明一下这是一种什么脱壳方法?
还有,这个程序加的是不是北斗的变形壳呢?

应该是007,没细看
2007-3-16 16:09
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//