首页
社区
课程
招聘
nSpack v1.3 脱壳之OM脚本
发表于: 2004-11-26 08:18 7141

nSpack v1.3 脱壳之OM脚本

2004-11-26 08:18
7141

国产北斗压缩解壳脚本,基于OM1.3

///////////////////////////////////////////////////////////////////////////////
//
//  FileName    :   nSpack V1.3.oms (北斗程序压缩 V1.3 脱壳脚本)
//  Author      :   chenjiwl
//  Date        :   2004-11-25 20:36
//  Comment     :   Search "popad,popfd,jmp" to get the OEP
//                  通过搜索特征码,来得到OEP地址
//
///////////////////////////////////////////////////////////////////////////////

EOB FindBreak   //当中断时转到 FindBreak

invoke Find, eip, "619DE9????????"  //搜索特征码
cmp reg00,-1     //是否找到特征码
je err                //如果没找到,则显示错误信息
mov reg01, reg00
invoke bp, reg01             //设置中断

run                            //F9
halt

err:
invoke msg,"错误:可能不是使用nSpack加壳的程序!\n请检查后再运行本脚本。"
halt

FindBreak:
invoke BC, reg01            //清除中断
stepover                   //F8
invoke msg, " 代码窗中有三个连续的代码是:\n1-->popad\n2-->popfd\n3-->jmp ????????\n\n这就是关键代码,jmp所指向的位置就是OEP地址。\n请按F8跳转到这个地址,并Dump出来修复! "

脚本下载:
附件:nspackV1.3.rar


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 7
支持
分享
最新回复 (13)
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
2
呵呵,代老罗感谢  
如果老罗能够定义F8/F7等命令多少次就方便了
2004-11-26 08:55
0
雪    币: 301
活跃值: (300)
能力值: ( LV9,RANK:290 )
在线值:
发帖
回帖
粉丝
3
学习一下.
2004-11-26 09:25
0
雪    币: 1583
活跃值: (831)
能力值: ( LV13,RANK:370 )
在线值:
发帖
回帖
粉丝
4
最初由 fly 发布
呵呵,代老罗感谢
如果老罗能够定义F8/F7等命令多少次就方便了


首先感谢vipchenji,辛苦了!

to fly:关于这个问题我曾经尝试过,似乎OllyDbg的主流程的工作方式决定了不允许一次性指定F8/F7的次数超过1次(超过1次以上的会被忽略,准确地说应该是在OD的主流程里面没有被处理)。
2004-11-26 12:27
0
雪    币: 216
活跃值: (370)
能力值: ( LV7,RANK:100 )
在线值:
发帖
回帖
粉丝
5
最初由 luocong 发布


首先感谢vipchenji,辛苦了!

to fly:关于这个问题我曾经尝试过,似乎OllyDbg的主流程的工作方式决定了不允许一次性指定F8/F7的次数超过1次(超过1次以上的会被忽略,准确地说应该是在OD的主流程里面没有被处理)。


这个简单呀,你在编译器里把它编成多条指令就是了,
比如stepover,4
你把它编译成:
stepover
stepover
stepover
stepover
呵呵,相当于宏汇编了,
再加点 .if 什么的就更像了
2004-11-26 14:17
0
雪    币: 1583
活跃值: (831)
能力值: ( LV13,RANK:370 )
在线值:
发帖
回帖
粉丝
6
最初由 goldenegg 发布


这个简单呀,你在编译器里把它编成多条指令就是了,
比如stepover,4
你把它编译成:
........


我尝试一下。 :)
2004-11-26 15:16
0
雪    币: 227
活跃值: (241)
能力值: ( LV9,RANK:210 )
在线值:
发帖
回帖
粉丝
7
我感觉可以实现,olldbg内部应该支持多次F7/F8,请老罗研究一下,造福大众:o
2004-11-26 16:58
0
雪    币: 98745
活跃值: (201039)
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
8
支持!!!
2004-11-26 21:04
0
雪    币: 214
活跃值: (15)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
9
OM用来脱壳好像跟OllyScript没有什么区别,就是不知OM能否用来辅助破解?
2004-11-27 00:17
0
雪    币: 1583
活跃值: (831)
能力值: ( LV13,RANK:370 )
在线值:
发帖
回帖
粉丝
10
最初由 ljy3282393 发布
OM用来脱壳好像跟OllyScript没有什么区别,就是不知OM能否用来辅助破解?


由于我尽量保持了语法上的兼容性,所以对于熟悉OllyScript的人来说,转移到OllyMachine应该不是很难的事情。目前我在根据大家的需求增加新的功能,请问你所说的“辅助破解”指的是哪些功能呢?我可以在我的技术水平允许的条件下尽量实现之。;)
2004-11-27 00:25
0
雪    币: 214
活跃值: (15)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
11
最初由 luocong 发布


由于我尽量保持了语法上的兼容性,所以对于熟悉OllyScript的人来说,转移到OllyMachine应该不是很难的事情。目前我在根据大家的需求增加新的功能,请问你所说的“辅助破解”指的是哪些功能呢?我可以在我的技术水平允许的条件下尽量实现之。;)

“辅助破解”指的是哪些功能具体我也说不清楚!不过我可以举一个例子:有时我们在破解时输入假的注册码并按"确定"按钮后,并没有"注册失败"的对话框弹出。这时,要找到"确定"按钮对应的事件代码的入口点就有点困难了(VB.Dephi的程序有相应的反编译工具可以找到"确定"按钮对应的事件代码的入口点,不过其它的语言(如C++)我好像没有听说过有相应的反编译工具!)!如果在输入假的注册码并按"确定"按钮后OllyMachine能拦截下来,从而找到对应的事件代码的入口点,这样就可以“辅助破解”了!
2004-11-27 02:41
0
雪    币: 1583
活跃值: (831)
能力值: ( LV13,RANK:370 )
在线值:
发帖
回帖
粉丝
12
最初由 ljy3282393 发布

“辅助破解”指的是哪些功能具体我也说不清楚!不过我可以举一个例子:有时我们在破解时输入假的注册码并按"确定"按钮后,并没有"注册失败"的对话框弹出。这时,要找到"确定"按钮对应的事件代码的入口点就有点困难了(VB.Dephi的程序有相应的反编译工具可以找到"确定"按钮对应的事件代码的入口点,不过其它的语言(如C++)我好像没有听说过有相应的反编译工具!)!如果在输入假的注册码并按"确定"按钮后OllyMachine能拦截下来,从而找到对应的事件代码的入口点,这样就可以“辅助破解”了!


OK,你的这个需求应该不会很难实现,我尝试一下。
2004-11-27 15:37
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
怎么用??
2005-1-22 18:33
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
写个1.4的吧~
      大哥~!
2005-1-24 03:02
0
游客
登录 | 注册 方可回帖
返回
//