x32dbg 手动脱NsPack 壳

记一下步骤


 

文件名字(太长遂改):1111.exe

文件来源:攻防世界Reverse三星题,crackme

工具选择:下载的文件出现病毒报错,一开始是用OD脱壳,但是修复表的时候,无法运行程序,所以改用x64

脱壳方法:ESP

 

在PE中

 在die中

发现存在NsPack壳

丢到x32dbg中

找到程序代码入口

 F8到call指令一行,右键esp,在内存窗口追踪

 右键内存窗口中的选中的地址,下2字节的硬件访问断点,F9运行,来到下图

 F8,实现后面的jmp跳转,来到下图位置

使用Scyall插件

常见的脱壳流程:dbg停在需要脱壳的地址上,点击Scylla的图标启动,会自动为你设定IAT info里的OEP为当前地址,点击dump

生成1111_dump.exe文件

但是这个文件直接运行是没有东西的,还需要修复表

修复导入表:点击IAT Autosearch,有可能提示:高级搜索结果和普通搜索结果不同,是否使用高级搜索结果。一般都选是,接着点Get Imports,自动获取需要修复的函数。我遇到过高级搜索反而搜不到的情况,这时候可以试试点否之后再点Get Imports。确认结果无误后点Fix Dump,选中刚才Dump出的文件,会生成SCY结尾的文件。

 选中我们刚刚生成的1111_dump文件,生成新的结尾SYC的文件

 双击1111_dump_SCY.exe,发现可以运行

 证明我们的脱壳成功~

posted @ 2024-05-02 22:01  C4emc1oudy  阅读(168)  评论(0编辑  收藏  举报