- 1TabNine可以使JavaScript自动完成更好
- 2[OC]scratch真3D教程(第一部分:平移)_scratch 3d
- 3Docker基础入门:常规软件安装与镜像加载原理_docker加载
- 4Python14_项目一 :外星人入侵游戏05 06(增加play按钮,增加记分牌,并且使外星人移动等级提升)_bullets.add
- 5python XGBoost分类器 和 基于树的特征选择 决策树法
- 6unity游戏性能优化 - 贴图优化_unity urp性能优化
- 7【R语言-生存分析之观察生存率计算】_cumulative mortality r语言
- 8linux 内核链表使用_#ifndef _linux_list_h
- 9OPENCV 各版本 下载 和API 说明_opencv版本说明
- 10未授权异常:FATAL ERROR in native method: Unauthorized_fatal error in native method: processing of -javaa
nSPack 手工脱壳过程
赞
踩
nSPack 手工脱壳过程
由于本人第一次进行手工去壳,记录一下过程~
这篇文章以XCTF中的reverse进阶题crackme为例子
题目链接:
链接:https://pan.baidu.com/s/1qYHTb0l6-25RdyvAPinbYA
提取码:z8zf
或者:https://adworld.xctf.org.cn/task/answer?type=reverse&number=4&grade=1&id=4966
本题需要的工具的链接:
三个工具都在其中~
链接:https://pan.baidu.com/s/1NWjomUuBk88xnH1DM1hUYQ
提取码:qpse
利用ESP定律脱壳,关于ESP定律
还要找到OEP,所谓的OEP,意即程序的入口点,可以用OD载入,不分析代码。
首先已知是nSPack壳,直接用OD打开,发现pushfd和pushad两句关键句:
直接按F8执行到pushad,ESP变化,直接ESP右键,给ESP设置一个断点
F9直接执行到popfd,可以看见下面有一条JMP指令
而且是跳得比较远的,根据北斗的特点来说
下面这一条语句很有可能是跳转到OEP的:
直接F8单步执行JMP,跳转到:
看上去应该是OEP了,,,,,
记住这个OEP地址,后面会需要:00401336
接下来使用另一个工具PETools
利用PETools获取转存:
得到一个Dumped.exe
双击运行不能正常运行,与原来运行不一致
这是就需要另一个工具 ImportREC
利用它来修复IAT:
- 第一步选择你的程序,
- 第二步输入刚刚记下来的OEP地址
- 第三步自动搜索
- 第四步获取输入表
- 第五步修复转存文件
(下图是执行到第三步的图)
得到一个Dumped_.exe文件:
继续查壳:
脱壳成功~~
PS:
这个过程说不上有多复杂,但是有很多知识点还是不知道的
第一次上手这个脱壳,有点生疏,查阅了许多资料
还有一点,再进行脱壳时,OD貌似不能关闭
在这个过程中本人关闭了一次,导致找不到执行的crakeme.exe文件
要学的东西还是很多啊~
关于本题的做法可以参考一下我的博客(本题做法),嘻嘻嘻
