北斗程序压缩1.3脱壳-简单

没有公告

	加入收藏
	设为首页
	在线投稿


	您现在的位置： IT知识网 >> IT知识 >> 网络安全 >> 黑客攻击 >> 文章正文

　　北斗程序压缩1.3脱壳-简单

北斗程序压缩1.3脱壳-简单

作者：佚名文章来源：不详点击数：更新时间：2006-12-5 21:04:51

作者：№微笑一刀　　来源：http://bbs.pediy.com/

破解作者】 №微笑一刀
【作者邮箱】保密
【作者主页】保密
【使用工具】 OD,IMPR
【破解平台】 XP SP2
【软件名称】北斗程序压缩1.3
【下载地址】 _blank>http://www.onlinedown.com/soft/36182.htm
【软件简介】首款国产Win32(Windows95/98/2000/NT/XP/2003)EXE、DLL、OCX等PE文件压缩工具，通过压缩代码、数据、相关资源使压缩能达到60-70%。特点:（1）、本软件采用当前世界顶级的压缩算法，其极高的压缩率和极快的解压速度，极大减少可执行文件大小(压缩比通常高于Aspack、UPX等同类软件). 压缩/加密后的程序无性能损失, 经压缩/加密的程序可以用其它第三方压缩/加密工具再加密/压缩. 在内存中解压/解密,提高了程序的安全性,本程序支持用其它第三方软件压缩/加密后的继续压缩/加密。（2）、能够正确处理PE文件中的共享数据、WindowsXP下的向量化异常(Vectored Exception Handling，VEH).（3）、界面简洁易用，支持中英文切换、右键功能、命令行。

【软件大小】 173KB
【加壳方式】 nSpack 1.3
【破解声明】我是一只小菜鸟，偶得一点心得，愿与大家分享：）
--------------------------------------------------------------------------------
【破解内容】

载入目标以后停在这里
00484375 >　9C　　　　　　　PUSHFD <-这里
00484376　　60　　　　　　　PUSHAD
00484377　　E8 00000000　　 CALL nSpack.0048437C <-走到这里以后查看ESP.可以用ESP定律,
在命令行下HR ESP,来到
00484599　　9D　　　　　　　POPFD <-这里.
0048459A　- E9 8002FAFF　　 JMP nSpack.0042481F <-走过去看看^_^

0042481F　　　55　　　　　　DB 55　　　　　　　　　　　　　　　　　　;　CHAR 'U'
00424820　　　8B　　　　　　DB 8B
00424821　　　EC　　　　　　DB EC
00424822　　　6A　　　　　　DB 6A　　　　　　　　　　　　　　　　　　;　CHAR 'j'
00424823　　　FF　　　　　　DB FF
00424824　　　68　　　　　　DB 68　　　　　　　　　　　　　　　　　　;　CHAR 'h'
00424825　　　C8　　　　　　DB C8
00424826　　　67　　　　　　DB 67　　　　　　　　　　　　　　　　　　;　CHAR 'g'
00424827　　　44　　　　　　DB 44　　　　　　　　　　　　　　　　　　;　CHAR 'D'
00424828　　　00　　　　　　DB 00
00424829　　　68　　　　　　DB 68　　　　　　　　　　　　　　　　　　;　CHAR 'h'
0042482A　　　CC　　　　　　DB CC
0042482B　　　3C　　　　　　DB 3C　　　　　　　　　　　　　　　　　　;　CHAR '<'
0042482C　　　42　　　　　　DB 42　　　　　　　　　　　　　　　　　　;　CHAR 'B'
0042482D　　　00　　　　　　DB 00
0042482E　　　64　　　　　　DB 64　　　　　　　　　　　　　　　　　　;　CHAR 'd'
0042482F　　　A1　　　　　　DB A1
怎么是这些东东,呵呵,CTRL+A分析一下
0042481F　/.　55　　　　　　PUSH EBP <-在此DUMP
00424820　|.　8BEC　　　　　MOV EBP,ESP
00424822　|.　6A FF　　　　 PUSH -1
00424824　|.　68 C8674400　 PUSH nSpack.004467C8
00424829　|.　68 CC3C4200　 PUSH nSpack.00423CCC　　　　　　　　　　 ;　SE handler installation
0042482E　|.　64:A1 0000000>MOV EAX,DWORD PTR FS:[0]
00424834　|.　50　　　　　　PUSH EAX
00424835　|.　64:8925 00000>MOV DWORD PTR FS:[0],ESP
0042483C　|.　83EC 58　　　 SUB ESP,58
0042483F　|.　53　　　　　　PUSH EBX
00424840　|.　56　　　　　　PUSH ESI
00424841　|.　57　　　　　　PUSH EDI
00424842　|.　8965 E8　　　 MOV DWORD PTR SS:[EBP-18],ESP
00424845　|.　FF15 A0224400 CALL DWORD PTR DS:[4422A0]　　　　　　　 ;　kernel32.GetVersion

出现了吧.嘿嘿.在0042481F 处DUMP.然后使用IMPR修复,在偶机器上有一个无效的.剪切掉就OK了.
主程序VC编译.这个壳是二哥推荐的.压缩能力据说超过UPX和ASPACK哦

脱过壳的
_996.rar">http://bbs.pediy.com/upload/file/2004/11/unpack.rar_996.rar

文章录入：wuyongjian 责任编辑：wuyongjian

上一篇文章： Windows终端服务和远程桌面Web方式访问及端口更改方法

下一篇文章：利用cmd躲过肉鸡病毒防火墙的方法

【字体：小大】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】