邪恶八进制信息安全团队技术讨论组 » 工程学类分支{ Engineering Column } » 逆向工程[ Reverse Engineering ] » [转载]北斗程序压缩1.3简单脱壳 [查看完整版本]

EvilOctal 2005-1-31 00:50

[转载]北斗程序压缩1.3简单脱壳

文章作者：№微笑一刀
信息来源：[url]http://bbs.pediy.com/[/url]

破解作者】 №微笑一刀
【作者邮箱】 保密
【作者主页】 保密
【使用工具】 OD,IMPR
【破解平台】 XP SP2
【软件名称】 北斗程序压缩1.3
【下载地址】 _blank>[url]http://www.onlinedown.com/soft/36182.htm[/url]
【软件简介】 首款国产Win32(Windows95/98/2000/NT/XP/2003)EXE、DLL、OCX等PE文件压缩工具，通过压缩代码、数据、相关资源使压缩能达到60-70%。特点:（1）、本软件采用当前世界顶级的压缩算法，其极高的压缩率和极快的解压速度，极大减少可执行文件大小(压缩比通常高于Aspack、UPX等同类软件). 压缩/加密后的程序无性能损失, 经压缩/加密的程序可以用其它第三方压缩/加密工具再加密/压缩. 在内存中解压/解密,提高了程序的安全性,本程序支持用其它第三方软件压缩/加密后的继续压缩/加密。（2）、能够正确处理PE文件中的共享数据、WindowsXP下的向量化异常(Vectored Exception Handling，VEH).（3）、界面简洁易用，支持中英文切换、右键功能、命令行。


【软件大小】 173KB
【加壳方式】 nSpack 1.3
【破解声明】 我是一只小菜鸟，偶得一点心得，愿与大家分享：）
--------------------------------------------------------------------------------
【破解内容】


载入目标以后停在这里
00484375 >  9C          PUSHFD <-这里
00484376   60          PUSHAD
00484377   E8 00000000    CALL nSpack.0048437C <-走到这里以后查看ESP.可以用ESP定律,
在命令行下HR ESP,来到
00484599   9D          POPFD <-这里.
0048459A  - E9 8002FAFF    JMP nSpack.0042481F <-走过去看看^_^

0042481F    55        DB 55                        ;  CHAR &#39;U&#39;
00424820    8B        DB 8B
00424821    EC        DB EC
00424822    6A        DB 6A                        ;  CHAR &#39;j&#39;
00424823    FF        DB FF
00424824    68        DB 68                        ;  CHAR &#39;h&#39;
00424825    C8        DB C8
00424826    67        DB 67                        ;  CHAR &#39;g&#39;
00424827    44        DB 44                        ;  CHAR &#39;D&#39;
00424828    00        DB 00
00424829    68        DB 68                        ;  CHAR &#39;h&#39;
0042482A    CC        DB CC
0042482B    3C        DB 3C                        ;  CHAR &#39;<&#39;
0042482C    42        DB 42                        ;  CHAR &#39;B&#39;
0042482D    00        DB 00
0042482E    64        DB 64                        ;  CHAR &#39;d&#39;
0042482F    A1        DB A1
怎么是这些东东,呵呵,CTRL+A分析一下
0042481F  /.  55        PUSH EBP <-在此DUMP
00424820  |.  8BEC       MOV EBP,ESP
00424822  |.  6A FF      PUSH -1
00424824  |.  68 C8674400  PUSH nSpack.004467C8
00424829  |.  68 CC3C4200  PUSH nSpack.00423CCC              ;  SE handler installation
0042482E  |.  64:A1 0000000>MOV EAX,DWORD PTR FS:[0]
00424834  |.  50        PUSH EAX
00424835  |.  64:8925 00000>MOV DWORD PTR FS:[0],ESP
0042483C  |.  83EC 58     SUB ESP,58
0042483F  |.  53        PUSH EBX
00424840  |.  56        PUSH ESI
00424841  |.  57        PUSH EDI
00424842  |.  8965 E8     MOV DWORD PTR SS:[EBP-18],ESP
00424845  |.  FF15 A0224400 CALL DWORD PTR DS:[4422A0]          ;  kernel32.GetVersion

出现了吧.嘿嘿.在0042481F 处DUMP.然后使用IMPR修复,在偶机器上有一个无效的.剪切掉就OK了.
主程序VC编译.这个壳是二哥推荐的.压缩能力据说超过UPX和ASPACK哦


脱过壳的
[url]http://bbs.pediy.com/upload/file/2004/11/unpack.rar_996.rar[/url]

查看完整版本: [转载]北斗程序压缩1.3简单脱壳

© 1999-2008 EvilOctal Security Team