北斗程序压缩1.3脱壳-简单-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

北斗程序压缩1.3脱壳-简单

发表于: 2004-11-14 03:11 12911

北斗程序压缩1.3脱壳-简单

LOCKLOSE

2004-11-14 03:11

12911

【破解作者】 №微笑一刀
【作者邮箱】保密
【作者主页】保密
【使用工具】 OD,IMPR
【破解平台】 XP SP2
【软件名称】北斗程序压缩1.3
【下载地址】 http://www.onlinedown.com/soft/36182.htm
【软件简介】首款国产Win32(Windows95/98/2000/NT/XP/2003)EXE、DLL、OCX等PE文件压缩工具，通过压缩代码、数据、相关资源使压缩能达到60-70%。特点:（1）、本软件采用当前世界顶级的压缩算法，其极高的压缩率和极快的解压速度，极大减少可执行文件大小(压缩比通常高于Aspack、UPX等同类软件). 压缩/加密后的程序无性能损失, 经压缩/加密的程序可以用其它第三方压缩/加密工具再加密/压缩. 在内存中解压/解密,提高了程序的安全性,本程序支持用其它第三方软件压缩/加密后的继续压缩/加密。（2）、能够正确处理PE文件中的共享数据、WindowsXP下的向量化异常(Vectored Exception Handling，VEH).（3）、界面简洁易用，支持中英文切换、右键功能、命令行。

【软件大小】 173KB
【加壳方式】 nSpack 1.3
【破解声明】我是一只小菜鸟，偶得一点心得，愿与大家分享：）
--------------------------------------------------------------------------------
【破解内容】

载入目标以后停在这里
00484375 >  9C             PUSHFD <-这里
00484376 60             PUSHAD
00484377 E8 00000000    CALL nSpack.0048437C <-走到这里以后查看ESP.可以用ESP定律,
在命令行下HR ESP,来到
00484599 9D             POPFD <-这里.
0048459A  - E9 8002FAFF    JMP nSpack.0042481F <-走过去看看^_^

0042481F    55          DB 55                                  ;  CHAR 'U'
00424820    8B          DB 8B
00424821    EC          DB EC
00424822    6A          DB 6A                                  ;  CHAR 'j'
00424823    FF          DB FF
00424824    68          DB 68                                  ;  CHAR 'h'
00424825    C8          DB C8
00424826    67          DB 67                                  ;  CHAR 'g'
00424827    44          DB 44                                  ;  CHAR 'D'
00424828    00          DB 00
00424829    68          DB 68                                  ;  CHAR 'h'
0042482A    CC          DB CC
0042482B    3C          DB 3C                                  ;  CHAR '<'
0042482C    42          DB 42                                  ;  CHAR 'B'
0042482D    00          DB 00
0042482E    64          DB 64                                  ;  CHAR 'd'
0042482F    A1          DB A1
怎么是这些东东,呵呵,CTRL+A分析一下
0042481F  /.  55          PUSH EBP <-在此DUMP
00424820  |.  8BEC       MOV EBP,ESP
00424822  |.  6A FF       PUSH -1
00424824  |.  68 C8674400 PUSH nSpack.004467C8
00424829  |.  68 CC3C4200 PUSH nSpack.00423CCC                   ;  SE handler installation
0042482E  |.  64:A1 0000000>MOV EAX,DWORD PTR FS:[0]
00424834  |.  50          PUSH EAX
00424835  |.  64:8925 00000>MOV DWORD PTR FS:[0],ESP
0042483C  |.  83EC 58    SUB ESP,58
0042483F  |.  53          PUSH EBX
00424840  |.  56          PUSH ESI
00424841  |.  57          PUSH EDI
00424842  |.  8965 E8    MOV DWORD PTR SS:[EBP-18],ESP
00424845  |.  FF15 A0224400 CALL DWORD PTR DS:[4422A0]             ;  kernel32.GetVersion

出现了吧.嘿嘿.在0042481F 处DUMP.然后使用IMPR修复,在偶机器上有一个无效的.剪切掉就OK了.
主程序VC编译.这个壳是二哥推荐的.压缩能力据说超过UPX和ASPACK哦

脱过壳的
附件:unpack.rar

--------------------------------------------------------------------------------
【版权声明】本文纯属技术交流, 转载请注明作者并保持文章的完整, 谢谢!

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法

收藏・2

免费・7

支持

最新回复 (32) 1 2 ▶
David 雪币： 411 活跃值： (1160) 能力值： ( LV9，RANK：810 ) 在线值：发帖 44 回帖 404 粉丝 4 关注私信	David 20 2 楼 :p 写个脚本支持国产软件吧. 2004-11-14 03:53 0
LOCKLOSE 雪币： 13606 活跃值： (4398) 能力值： ( LV7，RANK：100 ) 在线值：发帖 32 回帖 1038 粉丝 20 关注私信	LOCKLOSE 2 3 楼 // NSpack 1.3 OEP Finder v0.1 // by ★LOCKLOSE★ // http://bbs.pediy.com var addr sto sto mov addr,esp bphws addr,"r" run sto sto an eip MSG "You can dump it here!" 脚本..第一次写脚本...多多包含~附件:NSpack 1.3.txt 2004-11-14 05:09 0
longkeyy 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	longkeyy 4 楼我在2000下运行出现“无法定位程序输入点RestoreLastError于动态链接库kernel32.dll上。” 2004-11-14 07:52 0
David 雪币： 411 活跃值： (1160) 能力值： ( LV9，RANK：810 ) 在线值：发帖 44 回帖 404 粉丝 4 关注私信	David 20 5 楼能逐句解释一下脚本每行代码吗,是怎样的思路. 2004-11-14 07:56 0
LOCKLOSE 雪币： 13606 活跃值： (4398) 能力值： ( LV7，RANK：100 ) 在线值：发帖 32 回帖 1038 粉丝 20 关注私信	LOCKLOSE 2 6 楼最初由 longkeyy 发布我在2000下运行出现“无法定位程序输入点RestoreLastError于动态链接库kernel32.dll上。” 没做跨平台...呵呵. 2004-11-14 08:10 0
LOCKLOSE 雪币： 13606 活跃值： (4398) 能力值： ( LV7，RANK：100 ) 在线值：发帖 32 回帖 1038 粉丝 20 关注私信	LOCKLOSE 2 7 楼最初由 David 发布能逐句解释一下脚本每行代码吗,是怎样的思路. 代码其实只是我操作方法.步过2次下ESP硬件读取断点.执行.在步过2次之后分析代码.然后...嘿嘿 2004-11-14 08:12 0
LOCKLOSE 雪币： 13606 活跃值： (4398) 能力值： ( LV7，RANK：100 ) 在线值：发帖 32 回帖 1038 粉丝 20 关注私信	LOCKLOSE 2 8 楼最初由 longkeyy 发布我在2000下运行出现“无法定位程序输入点RestoreLastError于动态链接库kernel32.dll上。” 看看这个能步能在你的系统上跑起来~^_^附件:unpack.rar 2004-11-14 08:33 0
David 雪币： 411 活跃值： (1160) 能力值： ( LV9，RANK：810 ) 在线值：发帖 44 回帖 404 粉丝 4 关注私信	David 20 9 楼已经学会做脚本方法 2004-11-14 08:55 0
David 雪币： 411 活跃值： (1160) 能力值： ( LV9，RANK：810 ) 在线值：发帖 44 回帖 404 粉丝 4 关注私信	David 20 10 楼抛砖引玉之自己动手学写脚本 http://www.chinadfcg.com/viewthread.php?tid=10799 2004-11-14 10:49 0
linhanshi 雪币： 93908 活跃值： (200199) 能力值： (RANK：10 ) 在线值：发帖 9213 回帖 27805 粉丝 446 关注私信	linhanshi 11 楼最初由 David 发布抛砖引玉之自己动手学写脚本 http://www.chinadfcg.com/viewthread.php?tid=10799 支持!!! 2004-11-14 11:09 0
lucktiger 雪币： 5690 活跃值： (2537) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 260 粉丝 1 关注私信	lucktiger 12 楼会写脚本了。谢谢 2004-11-14 13:42 0
David 雪币： 411 活跃值： (1160) 能力值： ( LV9，RANK：810 ) 在线值：发帖 44 回帖 404 粉丝 4 关注私信	David 20 13 楼温馨提示,不要在98下使用脚本,98下面硬件断点都没有,根本无法写. 2004-11-14 13:55 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 14 楼 [NsPack v1.1(beta) - liuxingping] signature = 9C 60 E8 00 00 00 00 5D B8 57 84 40 00 2D 50 84 40 00 2B E8 8D B5 B7 FC FF FF 8B 06 83 F8 00 74 11 8D B5 C3 FC FF FF 8B 06 83 F8 01 0F 84 F1 01 00 00 C7 06 01 00 00 00 ep_only = true By 冰红茶 2004-11-14 14:02 0
KuNgBiM 雪币： 817 活跃值： (1927) 能力值： ( LV12，RANK：2670 ) 在线值：发帖 500 回帖 2517 粉丝 20 关注私信	KuNgBiM 66 15 楼我也跟几个其他不常用的壳PEiD的userdb.txt [pex0.99 ->params] signature = E9 F5 00 00 00 ep_only = true [Noodlecrypt2 ->r!sc] signature = EB 01 9A E8 76 00 00 00 ep_only = true [PE Diminisher v0.1 ->Teraphy] signature = 53 51 52 56 57 55 E8 00 00 00 00 ep_only = true 2004-11-14 14:45 0
csjwaman 雪币： 319 活跃值： (2404) 能力值： ( LV12，RANK：980 ) 在线值：发帖 74 回帖 883 粉丝 10 关注私信	csjwaman 24 16 楼最初由 fly 发布 [NsPack v1.1(beta) - liuxingping] signature = 9C 60 E8 00 00 00 00 5D B8 57 84 40 00 2D 50 84 40 00 2B E8 8D B5 B7 FC FF FF 8B 06 83 F8 00 74 11 8D B5 C3 FC FF FF 8B 06 83 F8 01 0F 84 F1 01 00 00 C7 06 01 00 00 00 ep_only = true ........ 不能通用的。 2004-11-14 15:24 0
KuNgBiM 雪币： 817 活跃值： (1927) 能力值： ( LV12，RANK：2670 ) 在线值：发帖 500 回帖 2517 粉丝 20 关注私信	KuNgBiM 66 17 楼最初由 csjwaman 发布不能通用的。用这个试试！ [nSpack V1.1b -> Liuxingping] signature = 9C 60 E8 00 00 00 00 5D B8 57 84 40 00 2D 50 84 40 00 ep_only = true 2004-11-14 15:36 0
csjwaman 雪币： 319 活跃值： (2404) 能力值： ( LV12，RANK：980 ) 在线值：发帖 74 回帖 883 粉丝 10 关注私信	csjwaman 24 18 楼最初由 KuNgBiM 发布用这个试试！ ........ Nothing found * 2004-11-14 15:41 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 19 楼最初由 csjwaman 发布不能通用的。刚才测试了一下在我的XP上可以识别主程序 2004-11-14 15:49 0
csjwaman 雪币： 319 活跃值： (2404) 能力值： ( LV12，RANK：980 ) 在线值：发帖 74 回帖 883 粉丝 10 关注私信	csjwaman 24 20 楼会是我的设置错误吗？ FLY兄弟试试这个，看能测出来吗？附件:MASM32.rar 2004-11-14 15:56 0
KuNgBiM 雪币： 817 活跃值： (1927) 能力值： ( LV12，RANK：2670 ) 在线值：发帖 500 回帖 2517 粉丝 20 关注私信	KuNgBiM 66 21 楼？？？？程序不是用 ASPack 2.12 -> Alexey Solodovnikov 加的壳吗？附件:dump_MASM32.rar 2004-11-14 16:03 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 22 楼我没有详细测试大家做个通用的sig就好 :D 2004-11-14 16:07 0
csjwaman 雪币： 319 活跃值： (2404) 能力值： ( LV12，RANK：980 ) 在线值：发帖 74 回帖 883 粉丝 10 关注私信	csjwaman 24 23 楼 [QUOTE]最初由 KuNgBiM 发布？？？？程序不是用 ASPack 2.12 -> Alexey Solodovnikov 加的壳吗？:confused 发错了，SORRY!重发。附件:MASM32.rar 2004-11-14 16:36 0
q3q3 雪币： 221 活跃值： (70) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 230 粉丝 1 关注私信	q3q3 24 楼最初由 David 发布温馨提示,不要在98下使用脚本,98下面硬件断点都没有,根本无法写. 脚本不是LOVEBOOM的专利吗:D 98的 findop eip, #9D# go $RESULT sto sto cmt eip, "OEP" ret 2004-11-14 16:37 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 25 楼本软件采用当前世界顶级的压缩算法，其极高的压缩率和极快的解压速度，极大减少可执行文件大小牛皮就是大，不就是那个MEW所用的算法么？都是公开库的 2004-11-14 16:57 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

LOCKLOSE

发帖

1038

回帖

100

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (32) 1 2 ▶
David 雪币： 411 活跃值： (1160) 能力值： ( LV9，RANK：810 ) 在线值：发帖 44 回帖 404 粉丝 4 关注私信	David 20 2 楼 :p 写个脚本支持国产软件吧. 2004-11-14 03:53 0
LOCKLOSE 雪币： 13606 活跃值： (4398) 能力值： ( LV7，RANK：100 ) 在线值：发帖 32 回帖 1038 粉丝 20 关注私信	LOCKLOSE 2 3 楼 // NSpack 1.3 OEP Finder v0.1 // by ★LOCKLOSE★ // http://bbs.pediy.com var addr sto sto mov addr,esp bphws addr,"r" run sto sto an eip MSG "You can dump it here!" 脚本..第一次写脚本...多多包含~附件:NSpack 1.3.txt 2004-11-14 05:09 0
longkeyy 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	longkeyy 4 楼我在2000下运行出现“无法定位程序输入点RestoreLastError于动态链接库kernel32.dll上。” 2004-11-14 07:52 0
David 雪币： 411 活跃值： (1160) 能力值： ( LV9，RANK：810 ) 在线值：发帖 44 回帖 404 粉丝 4 关注私信	David 20 5 楼能逐句解释一下脚本每行代码吗,是怎样的思路. 2004-11-14 07:56 0
LOCKLOSE 雪币： 13606 活跃值： (4398) 能力值： ( LV7，RANK：100 ) 在线值：发帖 32 回帖 1038 粉丝 20 关注私信	LOCKLOSE 2 6 楼最初由 longkeyy 发布我在2000下运行出现“无法定位程序输入点RestoreLastError于动态链接库kernel32.dll上。” 没做跨平台...呵呵. 2004-11-14 08:10 0
LOCKLOSE 雪币： 13606 活跃值： (4398) 能力值： ( LV7，RANK：100 ) 在线值：发帖 32 回帖 1038 粉丝 20 关注私信	LOCKLOSE 2 7 楼最初由 David 发布能逐句解释一下脚本每行代码吗,是怎样的思路. 代码其实只是我操作方法.步过2次下ESP硬件读取断点.执行.在步过2次之后分析代码.然后...嘿嘿 2004-11-14 08:12 0
LOCKLOSE 雪币： 13606 活跃值： (4398) 能力值： ( LV7，RANK：100 ) 在线值：发帖 32 回帖 1038 粉丝 20 关注私信	LOCKLOSE 2 8 楼最初由 longkeyy 发布我在2000下运行出现“无法定位程序输入点RestoreLastError于动态链接库kernel32.dll上。” 看看这个能步能在你的系统上跑起来~^_^附件:unpack.rar 2004-11-14 08:33 0
David 雪币： 411 活跃值： (1160) 能力值： ( LV9，RANK：810 ) 在线值：发帖 44 回帖 404 粉丝 4 关注私信	David 20 9 楼已经学会做脚本方法 2004-11-14 08:55 0
David 雪币： 411 活跃值： (1160) 能力值： ( LV9，RANK：810 ) 在线值：发帖 44 回帖 404 粉丝 4 关注私信	David 20 10 楼抛砖引玉之自己动手学写脚本 http://www.chinadfcg.com/viewthread.php?tid=10799 2004-11-14 10:49 0
linhanshi 雪币： 93908 活跃值： (200199) 能力值： (RANK：10 ) 在线值：发帖 9213 回帖 27805 粉丝 446 关注私信	linhanshi 11 楼最初由 David 发布抛砖引玉之自己动手学写脚本 http://www.chinadfcg.com/viewthread.php?tid=10799 支持!!! 2004-11-14 11:09 0
lucktiger 雪币： 5690 活跃值： (2537) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 260 粉丝 1 关注私信	lucktiger 12 楼会写脚本了。谢谢 2004-11-14 13:42 0
David 雪币： 411 活跃值： (1160) 能力值： ( LV9，RANK：810 ) 在线值：发帖 44 回帖 404 粉丝 4 关注私信	David 20 13 楼温馨提示,不要在98下使用脚本,98下面硬件断点都没有,根本无法写. 2004-11-14 13:55 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 14 楼 [NsPack v1.1(beta) - liuxingping] signature = 9C 60 E8 00 00 00 00 5D B8 57 84 40 00 2D 50 84 40 00 2B E8 8D B5 B7 FC FF FF 8B 06 83 F8 00 74 11 8D B5 C3 FC FF FF 8B 06 83 F8 01 0F 84 F1 01 00 00 C7 06 01 00 00 00 ep_only = true By 冰红茶 2004-11-14 14:02 0
KuNgBiM 雪币： 817 活跃值： (1927) 能力值： ( LV12，RANK：2670 ) 在线值：发帖 500 回帖 2517 粉丝 20 关注私信	KuNgBiM 66 15 楼我也跟几个其他不常用的壳PEiD的userdb.txt [pex0.99 ->params] signature = E9 F5 00 00 00 ep_only = true [Noodlecrypt2 ->r!sc] signature = EB 01 9A E8 76 00 00 00 ep_only = true [PE Diminisher v0.1 ->Teraphy] signature = 53 51 52 56 57 55 E8 00 00 00 00 ep_only = true 2004-11-14 14:45 0
csjwaman 雪币： 319 活跃值： (2404) 能力值： ( LV12，RANK：980 ) 在线值：发帖 74 回帖 883 粉丝 10 关注私信	csjwaman 24 16 楼最初由 fly 发布 [NsPack v1.1(beta) - liuxingping] signature = 9C 60 E8 00 00 00 00 5D B8 57 84 40 00 2D 50 84 40 00 2B E8 8D B5 B7 FC FF FF 8B 06 83 F8 00 74 11 8D B5 C3 FC FF FF 8B 06 83 F8 01 0F 84 F1 01 00 00 C7 06 01 00 00 00 ep_only = true ........ 不能通用的。 2004-11-14 15:24 0
KuNgBiM 雪币： 817 活跃值： (1927) 能力值： ( LV12，RANK：2670 ) 在线值：发帖 500 回帖 2517 粉丝 20 关注私信	KuNgBiM 66 17 楼最初由 csjwaman 发布不能通用的。用这个试试！ [nSpack V1.1b -> Liuxingping] signature = 9C 60 E8 00 00 00 00 5D B8 57 84 40 00 2D 50 84 40 00 ep_only = true 2004-11-14 15:36 0
csjwaman 雪币： 319 活跃值： (2404) 能力值： ( LV12，RANK：980 ) 在线值：发帖 74 回帖 883 粉丝 10 关注私信	csjwaman 24 18 楼最初由 KuNgBiM 发布用这个试试！ ........ Nothing found * 2004-11-14 15:41 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 19 楼最初由 csjwaman 发布不能通用的。刚才测试了一下在我的XP上可以识别主程序 2004-11-14 15:49 0
csjwaman 雪币： 319 活跃值： (2404) 能力值： ( LV12，RANK：980 ) 在线值：发帖 74 回帖 883 粉丝 10 关注私信	csjwaman 24 20 楼会是我的设置错误吗？ FLY兄弟试试这个，看能测出来吗？附件:MASM32.rar 2004-11-14 15:56 0
KuNgBiM 雪币： 817 活跃值： (1927) 能力值： ( LV12，RANK：2670 ) 在线值：发帖 500 回帖 2517 粉丝 20 关注私信	KuNgBiM 66 21 楼？？？？程序不是用 ASPack 2.12 -> Alexey Solodovnikov 加的壳吗？附件:dump_MASM32.rar 2004-11-14 16:03 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 22 楼我没有详细测试大家做个通用的sig就好 :D 2004-11-14 16:07 0
csjwaman 雪币： 319 活跃值： (2404) 能力值： ( LV12，RANK：980 ) 在线值：发帖 74 回帖 883 粉丝 10 关注私信	csjwaman 24 23 楼 [QUOTE]最初由 KuNgBiM 发布？？？？程序不是用 ASPack 2.12 -> Alexey Solodovnikov 加的壳吗？:confused 发错了，SORRY!重发。附件:MASM32.rar 2004-11-14 16:36 0
q3q3 雪币： 221 活跃值： (70) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 230 粉丝 1 关注私信	q3q3 24 楼最初由 David 发布温馨提示,不要在98下使用脚本,98下面硬件断点都没有,根本无法写. 脚本不是LOVEBOOM的专利吗:D 98的 findop eip, #9D# go $RESULT sto sto cmt eip, "OEP" ret 2004-11-14 16:37 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 25 楼本软件采用当前世界顶级的压缩算法，其极高的压缩率和极快的解压速度，极大减少可执行文件大小牛皮就是大，不就是那个MEW所用的算法么？都是公开库的 2004-11-14 16:57 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复