x32dbg 手动脱NsPack 壳

记一下步骤

---

 

文件名字（太长遂改）：1111.exe

文件来源：攻防世界Reverse三星题，crackme

工具选择：下载的文件出现病毒报错，一开始是用OD脱壳，但是修复表的时候，无法运行程序，所以改用x64

脱壳方法：ESP

 

在PE中

 在die中

发现存在NsPack壳

丢到x32dbg中

找到程序代码入口

 F8到call指令一行，右键esp，在内存窗口追踪

 右键内存窗口中的选中的地址，下2字节的硬件访问断点，F9运行，来到下图

 F8，实现后面的jmp跳转，来到下图位置

使用Scyall插件

常见的脱壳流程：dbg停在需要脱壳的地址上，点击Scylla的图标启动，会自动为你设定IAT info里的OEP为当前地址，点击dump

生成1111_dump.exe文件

但是这个文件直接运行是没有东西的，还需要修复表

修复导入表：点击IAT Autosearch，有可能提示：高级搜索结果和普通搜索结果不同，是否使用高级搜索结果。一般都选是，接着点Get Imports，自动获取需要修复的函数。我遇到过高级搜索反而搜不到的情况，这时候可以试试点否之后再点Get Imports。确认结果无误后点Fix Dump，选中刚才Dump出的文件，会生成SCY结尾的文件。

 选中我们刚刚生成的1111_dump文件，生成新的结尾SYC的文件

 双击1111_dump_SCY.exe，发现可以运行

 证明我们的脱壳成功~