Loading... # 分析软件 ## 工具 查壳软件:Die、lordPE 分析软件:x32Dbg、OD 运行平台:Windows x32 # NsPack Nspack是一款专业的压缩软件,包括文件压缩和目录压缩两种压缩方式,可以进行压缩资源、忽略重定位节、强制压缩等。 ## 查壳 由Die识别出 是由NsPack加壳 ![image.png](http://www.irohane.top/usr/uploads/2021/03/1171596259.png) ## 开始脱壳 找到OEP 一开始保存了寄存器,那么很大可能在完成修复后恢复,寄存器保存的值。所以肯定会对内存进行读取,在这块内存下一个硬件访问断点。 ![image.png](http://www.irohane.top/usr/uploads/2021/03/2521465179.png) 然后F9可以看到跳到了call这里在下面就有一个jmp ![image.png](http://www.irohane.top/usr/uploads/2021/03/2564094415.png) 找到这个开头进行脱壳 ![image.png](http://www.irohane.top/usr/uploads/2021/03/520350449.png) ![image.png](http://www.irohane.top/usr/uploads/2021/03/3012567293.png) 脱壳成功 ![image.png](http://www.irohane.top/usr/uploads/2021/03/4164609265.png) # UPX *UPX* (the Ultimate Packer for eXecutables)是一款先进的可执行程序文件压缩器,压缩过的可执行文件体积缩小50%-70%。 ## 查壳 ![image.png](http://www.irohane.top/usr/uploads/2021/03/2727072583.png) ## 开始脱壳 ![image.png](http://www.irohane.top/usr/uploads/2021/03/853875169.png) ![image.png](http://www.irohane.top/usr/uploads/2021/03/3210187962.png) C++的特征 ![image.png](http://www.irohane.top/usr/uploads/2021/03/1770163214.png) 进行脱壳 ![image.png](http://www.irohane.top/usr/uploads/2021/03/3470582848.png) 使用CTRL+B 填入 FF 25 找到IAT表 ![image.png](http://www.irohane.top/usr/uploads/2021/03/1623877325.png) 右键跟随地址找到 ![image.png](http://www.irohane.top/usr/uploads/2021/03/1599419677.png) 找到基址 ![image.png](http://www.irohane.top/usr/uploads/2021/03/2870959051.png) 使用ImportRec找到导入表然后转储文件将dump之后的文件重定位表进行修复 ![image.png](http://www.irohane.top/usr/uploads/2021/03/3970995941.png) ![image.png](http://www.irohane.top/usr/uploads/2021/03/4116296349.png) # FSG ## 查壳 ![image.png](http://www.irohane.top/usr/uploads/2021/03/806592534.png) ## 脱壳 我在网上看到有一个脱壳技巧套路,就直接在下面找一个特征 js jnz jmp 这个特征 jmp 就是跳向OEP的跳, ![image.png](http://www.irohane.top/usr/uploads/2021/03/305295055.png) ![image.png](http://www.irohane.top/usr/uploads/2021/03/3660902244.png) 修复导入表 找到开始位置 ![image.png](http://www.irohane.top/usr/uploads/2021/03/2234725222.png) 4011D2 - 400000 =11d2 ![image.png](http://www.irohane.top/usr/uploads/2021/03/715210860.png) ![image.png](http://www.irohane.top/usr/uploads/2021/03/1020195764.png) # aspack **ASPack**是一款非常好的32位PE格式可执行文件的压缩软件,能对程序员开发的32位Windows可执行程序进行压缩,使用起来真的非常方便,通过ASPack(脱壳机)绿色中文版压缩过的文件,最终文件减少70%. ## 查壳 ![image.png](http://www.irohane.top/usr/uploads/2021/03/3443824980.png) 使用lordPE取消随即基址 ![image.png](http://www.irohane.top/usr/uploads/2021/03/3092198909.png) ## 脱壳 ESP 定律 ![image.png](http://www.irohane.top/usr/uploads/2021/03/3188707008.png) ![image.png](http://www.irohane.top/usr/uploads/2021/03/3171862996.png) 找到OEP ![image.png](http://www.irohane.top/usr/uploads/2021/03/3306974705.png) DUMP - 修复IAT ![image.png](http://www.irohane.top/usr/uploads/2021/03/494944539.png) ![image.png](http://www.irohane.top/usr/uploads/2021/03/2246286688.png) ![image.png](http://www.irohane.top/usr/uploads/2021/03/1400577635.png) 最后修改:2021 年 03 月 07 日 © 允许规范转载 赞 0 如果觉得我的文章对你有用,请随意赞赏