1.描述:
- 學習目的是如何手脫Nspack殼
- 本文采用ximo脫殼基礎/3.手脫Nspack殼/QQ個性網名昵稱檢視器1.3.exe進行脫殼。
2.分析
首先通過PEID進行查殼資訊:
olldbg加載QQ個性網名昵稱檢視器1.3.exe,執行ESP定律進行脫殼,如下所示:
執行F9,然後執行F8單步指令,當執行到jmp 指令時,出現異常情況,OD沒有正确的将記憶體資料轉換成彙編形式顯示出來,解決方法:
1.選擇analysis->analysis code
2.選擇analysis->remove analysis from module
當執行analysis指令之後,顯示指令執行到OEP,可以進行脫殼了。
脫殼成功之後: