创新路
我们一直在努力

学习——脱壳 NSPACK (北斗)

曾经有许多软件都是使用北斗来加的壳

image.png

OD去打开这个软件

我们先使用ESP定律法来找OEP

image.png

地址出来的下方 hex值可以先选定它然后右键选择为  长型  地址

image.png

进到OEP 发现和以往不同  可能是编译出了问题 ?

image.png

右键选择分析将分析从模块中删除掉

image.png

ok得到了我们熟悉的OEP

image.png

开脱

image.png

image.png

image.png

image.png

可能因为OD版本原因用OD自带的脱壳工具是模式一可以脱壳也能使用     

 模式二壳倒是能脱下来用PEID查一下 看到是VB 程序  却无法成功运行

这时候我们可以使用loadPE来脱一脱

image.png

image.png

或许是此版本原因  lordPE 无法将脱壳后的软件另存  目前对lord PE 的使用还不够了解 需继续跟进学习

未经允许不得转载:天府数据港官方信息博客 » 学习——脱壳 NSPACK (北斗)

客官点个赞呗! (0)
分享到:

评论 抢沙发

评论前必须登录!

天府云博 - 做有态度的开发&运维&设计学习分享平台!

联系我们百度云主机