nspack 3.5 主程序脱壳介绍
xp sp2
flyodbg
Aspr SKE 2.X
零 需要哪里就重新来过重点分析哪里
come on lets go
一 PEiD可以不用, 但LordPE一定要先加载看看
.rsrc段上面有三个区段,没有名字,不过可以猜到是.text、.rdata和.data段,是VC的程序
二 看看能不能在OD下跑起来
OD载入nspack.exe,忽略所有异常,清除所有断点, 打上IswindowPresent插件
F9运行 gogogo~
正常情况下能跑起来,alt+e看看加载的dll,看到有msvcrt.dll,没有发现mfc的dll
所以是普通VC或MFC静态
我猜我猜我猜猜猜
三 到oep看看
重来,OD截入,忽略所有...清除...打上..插件
到GetVersion的末尾retn下断
7C8114AB kernel32.GetVersion 64:A1 18000000 mov eax,dword ptr fs:[18]
7C8114B1 8B48 30 mov ecx,dword ptr ds:[eax+30]
7C8114B4 8B81 B0000000 mov eax,dword ptr ds:[ecx+B0]
7C8114BA 0FB791 AC000000 movzx edx,word ptr ds:[ecx+AC]
7C8114C1 83F0 FE xor eax,FFFFFFFE
7C8114C4 C1E0 0E shl eax,0E
7C8114C7 0BC2 or eax,edx
7C8114C9 C1E0 08 shl eax,8
7C8114CC 0B81 A8000000 or eax,dword ptr ds:[ecx+A8]
7C8114D2 C1E0 08 shl eax,8
7C8114D5 0B81 A4000000 or eax,dword ptr ds:[ecx+A4]
7C8114DB C3 retn //这里下断
F9运行,断下,F8返回,向上看看,看到oep了
00486C68 55 push ebp
00486C69 8BEC mov ebp,esp
00486C6B 6A FF push -1
00486C6D 68 38FB4A00 push nSpack.004AFB38
00486C72 68 50554800 push nSpack.00485550
00486C77 64:A1 00000000 mov eax,dword ptr fs:[0]
00486C7D 50 push eax
00486C7E 64:8925 00000000 mov dword ptr fs:[0],esp
00486C85 83EC 58 sub esp,58
00486C88 53 push ebx
00486C89 56 push esi
00486C8A 57 push edi
00486C8B 8965 E8 mov dword ptr ss:[ebp-18],esp
00486C8E FF15 6C724A00 call dword ptr ds:[4A726C] ; kernel32.GetVersion
00486C94 33D2 xor edx,edx &nbs