首页
社区
课程
招聘
北斗程序压缩1.3脱壳-简单
发表于: 2004-11-14 03:11 13037

北斗程序压缩1.3脱壳-简单

2004-11-14 03:11
13037

【破解作者】 №微笑一刀
【作者邮箱】 保密
【作者主页】 保密
【使用工具】 OD,IMPR
【破解平台】 XP SP2
【软件名称】 北斗程序压缩1.3
【下载地址】 http://www.onlinedown.com/soft/36182.htm
【软件简介】 首款国产Win32(Windows95/98/2000/NT/XP/2003)EXE、DLL、OCX等PE文件压缩工具,通过压缩代码、数据、相关资源使压缩能达到60-70%。特点:(1)、本软件采用当前世界顶级的压缩算法,其极高的压缩率和极快的解压速度,极大减少可执行文件大小(压缩比通常高于Aspack、UPX等同类软件). 压缩/加密后的程序无性能损失, 经压缩/加密的程序可以用其它第三方压缩/加密工具再加密/压缩. 在内存中解压/解密,提高了程序的安全性,本程序支持用其它第三方软件压缩/加密后的继续压缩/加密。(2)、能够正确处理PE文件中的共享数据、WindowsXP下的向量化异常(Vectored Exception Handling,VEH).(3)、界面简洁易用,支持中英文切换、右键功能、命令行。

【软件大小】 173KB
【加壳方式】 nSpack 1.3
【破解声明】 我是一只小菜鸟,偶得一点心得,愿与大家分享:)
--------------------------------------------------------------------------------
【破解内容】

载入目标以后停在这里
00484375 >  9C              PUSHFD <-这里
00484376    60              PUSHAD
00484377    E8 00000000     CALL nSpack.0048437C <-走到这里以后查看ESP.可以用ESP定律,
在命令行下HR ESP,来到
00484599    9D              POPFD <-这里.
0048459A  - E9 8002FAFF     JMP nSpack.0042481F <-走过去看看^_^

0042481F      55            DB 55                                    ;  CHAR 'U'
00424820      8B            DB 8B
00424821      EC            DB EC
00424822      6A            DB 6A                                    ;  CHAR 'j'
00424823      FF            DB FF
00424824      68            DB 68                                    ;  CHAR 'h'
00424825      C8            DB C8
00424826      67            DB 67                                    ;  CHAR 'g'
00424827      44            DB 44                                    ;  CHAR 'D'
00424828      00            DB 00
00424829      68            DB 68                                    ;  CHAR 'h'
0042482A      CC            DB CC
0042482B      3C            DB 3C                                    ;  CHAR '<'
0042482C      42            DB 42                                    ;  CHAR 'B'
0042482D      00            DB 00
0042482E      64            DB 64                                    ;  CHAR 'd'
0042482F      A1            DB A1
怎么是这些东东,呵呵,CTRL+A分析一下
0042481F  /.  55            PUSH EBP <-在此DUMP
00424820  |.  8BEC          MOV EBP,ESP
00424822  |.  6A FF         PUSH -1
00424824  |.  68 C8674400   PUSH nSpack.004467C8
00424829  |.  68 CC3C4200   PUSH nSpack.00423CCC                     ;  SE handler installation
0042482E  |.  64:A1 0000000>MOV EAX,DWORD PTR FS:[0]
00424834  |.  50            PUSH EAX
00424835  |.  64:8925 00000>MOV DWORD PTR FS:[0],ESP
0042483C  |.  83EC 58       SUB ESP,58
0042483F  |.  53            PUSH EBX
00424840  |.  56            PUSH ESI
00424841  |.  57            PUSH EDI
00424842  |.  8965 E8       MOV DWORD PTR SS:[EBP-18],ESP
00424845  |.  FF15 A0224400 CALL DWORD PTR DS:[4422A0]               ;  kernel32.GetVersion

出现了吧.嘿嘿.在0042481F 处DUMP.然后使用IMPR修复,在偶机器上有一个无效的.剪切掉就OK了.
主程序VC编译.这个壳是二哥推荐的.压缩能力据说超过UPX和ASPACK哦

脱过壳的
附件:unpack.rar

--------------------------------------------------------------------------------
【版权声明】 本文纯属技术交流, 转载请注明作者并保持文章的完整, 谢谢!


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 7
支持
分享
最新回复 (32)
雪    币: 411
活跃值: (1160)
能力值: ( LV9,RANK:810 )
在线值:
发帖
回帖
粉丝
2
:p  写个脚本支持国产软件吧.
2004-11-14 03:53
0
雪    币: 14937
活跃值: (4718)
能力值: ( LV7,RANK:100 )
在线值:
发帖
回帖
粉丝
3
// NSpack 1.3 OEP Finder v0.1
// by ★LOCKLOSE★
// http://bbs.pediy.com

  var addr
  sto
  sto
  mov addr,esp
  bphws addr,"r"
  run
  sto
  sto
  an eip
  MSG "You can dump it here!"

脚本..第一次写脚本...多多包含~附件:NSpack 1.3.txt
2004-11-14 05:09
0
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
我在2000下运行出现“无法定位程序输入点RestoreLastError于动态链接库kernel32.dll上。”
2004-11-14 07:52
0
雪    币: 411
活跃值: (1160)
能力值: ( LV9,RANK:810 )
在线值:
发帖
回帖
粉丝
5
能逐句解释一下脚本每行代码吗,是怎样的思路.
2004-11-14 07:56
0
雪    币: 14937
活跃值: (4718)
能力值: ( LV7,RANK:100 )
在线值:
发帖
回帖
粉丝
6
最初由 longkeyy 发布
我在2000下运行出现“无法定位程序输入点RestoreLastError于动态链接库kernel32.dll上。”

没做跨平台...呵呵.
2004-11-14 08:10
0
雪    币: 14937
活跃值: (4718)
能力值: ( LV7,RANK:100 )
在线值:
发帖
回帖
粉丝
7
最初由 David 发布
能逐句解释一下脚本每行代码吗,是怎样的思路.

代码其实只是我操作方法.步过2次下ESP硬件读取断点.执行.在步过2次之后分析代码.然后...嘿嘿
2004-11-14 08:12
0
雪    币: 14937
活跃值: (4718)
能力值: ( LV7,RANK:100 )
在线值:
发帖
回帖
粉丝
8
最初由 longkeyy 发布
我在2000下运行出现“无法定位程序输入点RestoreLastError于动态链接库kernel32.dll上。”

看看这个能步能在你的系统上跑起来~^_^附件:unpack.rar
2004-11-14 08:33
0
雪    币: 411
活跃值: (1160)
能力值: ( LV9,RANK:810 )
在线值:
发帖
回帖
粉丝
9
已经学会做脚本方法
2004-11-14 08:55
0
雪    币: 411
活跃值: (1160)
能力值: ( LV9,RANK:810 )
在线值:
发帖
回帖
粉丝
10
抛砖引玉之自己动手学写脚本

http://www.chinadfcg.com/viewthread.php?tid=10799
2004-11-14 10:49
0
雪    币: 97697
活跃值: (200819)
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
11
最初由 David 发布
抛砖引玉之自己动手学写脚本

http://www.chinadfcg.com/viewthread.php?tid=10799

支持!!!
2004-11-14 11:09
0
雪    币: 5893
活跃值: (2712)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
会写脚本了。谢谢
2004-11-14 13:42
0
雪    币: 411
活跃值: (1160)
能力值: ( LV9,RANK:810 )
在线值:
发帖
回帖
粉丝
13
温馨提示,不要在98下使用脚本,98下面硬件断点都没有,根本无法写.
2004-11-14 13:55
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
14
[NsPack v1.1(beta) - liuxingping]
signature = 9C 60 E8 00 00 00 00 5D B8 57 84 40 00 2D 50 84 40 00 2B E8 8D B5 B7 FC FF FF 8B 06 83 F8 00 74 11 8D B5 C3 FC FF FF 8B 06 83 F8 01 0F 84 F1 01 00 00 C7 06 01 00 00 00
ep_only = true

By  冰红茶
2004-11-14 14:02
0
雪    币: 817
活跃值: (1927)
能力值: ( LV12,RANK:2670 )
在线值:
发帖
回帖
粉丝
15
我也跟几个其他不常用的壳PEiD的userdb.txt

[pex0.99 ->params]
signature = E9 F5 00 00 00
ep_only = true

[Noodlecrypt2 ->r!sc]
signature = EB 01 9A E8 76 00 00 00
ep_only = true

[PE Diminisher v0.1 ->Teraphy]
signature = 53 51 52 56 57 55 E8 00 00 00 00
ep_only = true
2004-11-14 14:45
0
雪    币: 319
活跃值: (2459)
能力值: ( LV12,RANK:980 )
在线值:
发帖
回帖
粉丝
16
最初由 fly 发布
[NsPack v1.1(beta) - liuxingping]
signature = 9C 60 E8 00 00 00 00 5D B8 57 84 40 00 2D 50 84 40 00 2B E8 8D B5 B7 FC FF FF 8B 06 83 F8 00 74 11 8D B5 C3 FC FF FF 8B 06 83 F8 01 0F 84 F1 01 00 00 C7 06 01 00 00 00
ep_only = true


........


不能通用的。
2004-11-14 15:24
0
雪    币: 817
活跃值: (1927)
能力值: ( LV12,RANK:2670 )
在线值:
发帖
回帖
粉丝
17
最初由 csjwaman 发布


不能通用的。


用这个试试!

[nSpack V1.1b -> Liuxingping]
signature = 9C 60 E8 00 00 00 00 5D B8 57 84 40 00 2D 50 84 40 00
ep_only = true
2004-11-14 15:36
0
雪    币: 319
活跃值: (2459)
能力值: ( LV12,RANK:980 )
在线值:
发帖
回帖
粉丝
18
最初由 KuNgBiM 发布



用这个试试!

........


Nothing found *
2004-11-14 15:41
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
19
最初由 csjwaman 发布


不能通用的。


刚才测试了一下
在我的XP上可以识别主程序

2004-11-14 15:49
0
雪    币: 319
活跃值: (2459)
能力值: ( LV12,RANK:980 )
在线值:
发帖
回帖
粉丝
20
会是我的设置错误吗?

FLY兄弟试试这个,看能测出来吗?附件:MASM32.rar
2004-11-14 15:56
0
雪    币: 817
活跃值: (1927)
能力值: ( LV12,RANK:2670 )
在线值:
发帖
回帖
粉丝
21
????
程序不是用
ASPack 2.12 -> Alexey Solodovnikov
加的壳吗?附件:dump_MASM32.rar
2004-11-14 16:03
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
22
我没有详细测试
大家做个通用的sig就好  :D
2004-11-14 16:07
0
雪    币: 319
活跃值: (2459)
能力值: ( LV12,RANK:980 )
在线值:
发帖
回帖
粉丝
23
[QUOTE]最初由 KuNgBiM 发布
????
程序不是用
ASPack 2.12 -> Alexey Solodovnikov
加的壳吗?:confused

发错了,SORRY!重发。附件:MASM32.rar
2004-11-14 16:36
0
雪    币: 221
活跃值: (70)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
24
最初由 David 发布
温馨提示,不要在98下使用脚本,98下面硬件断点都没有,根本无法写.

脚本不是LOVEBOOM的专利吗:D
98的
findop eip, #9D#
go $RESULT
sto
sto
cmt eip, "OEP"
ret
2004-11-14 16:37
0
雪    币: 427
活跃值: (412)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
25
本软件采用当前世界顶级的压缩算法,其极高的压缩率和极快的解压速度,极大减少可执行文件大小

牛皮就是大,不就是那个MEW所用的算法么? 都是公开库的
2004-11-14 16:57
0
游客
登录 | 注册 方可回帖
返回
//