前言
现有一个加壳程序,要求对程序脱壳,需要修复脱壳后的程序
使用PEiD查壳,显示为NsPack 1.4 -> Liuxingping [Overlay] *
先定位程序的OEP,使用od打开程序,看到有压入栈的操作
进行查找,查找命令序列popad popfd,和pushfd pushad对应,点击查找
得到
在popfd处下断点
运行程序到达断点处
单步步过,跳转到00403831处,这里就是OEP
使用PEiD进行脱壳,运行脱壳后的程序得到
需要重建引入表,运行为脱壳的程序,使用Import REC附加程序,输入OEP,选择自动搜素,获取输入表,得到输入函数
Import REC的下载及使用:
[Import REC] Import REC下载及使用Import REC重建引入表Import table详细过程(附有下载文件)-CSDN博客
点击修复转存文件,选择脱壳后的程序
运行脱壳后的程序
使用CFF Explorer查看节头部
CFF Explorer的下载链接:
CFF Explorer
链接:https://pan.quark.cn/s/2dca09215b77
提取码:2ZeF
下载后解压,双击.exe文件即可运行
看到nsp4,Raw地址加Raw大小等于28400
打开Hex编辑器WinHex
WinHex下载链接:
WinHex
链接:https://pan.quark.cn/s/8fce028f9f1b
提取码:Yaa8
下载后解压,双击文件中的.exe文件即可使用
打开未脱壳的文件,在偏移量28400处右键点击选块起始地址
找到最后,右键选择选块尾部
右键点击复制->正常
打开破解并修复后的文件,粘贴到末尾
保存文件,运行刚才保存的文件,出现如图窗口
脱壳成功,且修复成功
用到的下载链接,都是免安装的绿化版,下载后解压,双击.exe文件即可使用
CFF Explorer
链接:https://pan.quark.cn/s/2dca09215b77
提取码:2ZeF
WinHex
链接:https://pan.quark.cn/s/8fce028f9f1b
提取码:Yaa8
链接失效(可能会被官方和谐)可私信或评论我重发
