手撕Nspack3.7(北斗)壳
生活随笔
收集整理的這篇文章主要介紹了
手撕Nspack3.7(北斗)壳
小編覺得挺不錯的,現在分享給大家,幫大家做個參考.
文章目錄
- 聲明
- ESP定律
- 第一步:
- dump數據區
- 然后設置硬件訪問斷點
- 收尾
- 單步執行
- 兩次內存鏡像
- 第一次
聲明
記住ESP的值,然后下面用幾種技術分別脫殼
ESP定律
ESP的值為0x19FF74
設置硬件訪問斷點(記住在ESP的突變后第一步)
第一步:
dump數據區
然后設置硬件訪問斷點
特別注意,是硬件訪問斷點,千萬別下成硬件寫入斷點和硬件執行斷點
緊接著運行即可,然后到達這里
遇到一個大跳轉,即跳向OEP地址的。執行后,
這里即是OEP,ESP的值為0x19FF74
收尾
記得把硬件斷點刪除
單步執行
還是那句話,遇到向下的跳轉讓它實現,向上的直接F4就行。。
然后就來到了
這個的話,單步跟蹤沒什么好說的。。。跟UPX一樣。。。執行到OEP后,ESP的值為0x19FF74
at GetVersion方法我試了一下,對付北斗3.7的殼行不通。。。
兩次內存鏡像
查了一下,PE在運行過程中,是從上向下開始解壓的,以前先在.rsrc段下斷點,然后再去1000偏移處下斷點(一般為code段)。現在的話,沒有.rsrc段,那就在1000偏移處下斷點(一般為code段)
第一次
然后點擊運行,來到了這里
接下來幾步直接單步向下即可。
找到了去向OEP的關鍵點。GAMEOVER
總結
以上是生活随笔為你收集整理的手撕Nspack3.7(北斗)壳的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 手脱ASpack
- 下一篇: 手撕FSG2.0壳(有坑点)