The_Monkey 发表于 2018-9-6 15:14

DxF的E盾DLL,nspack脱壳求助

首先是查毒链接:https://habo.qq.com/file/showdetail?pk=ADwGZ11kB28IOls9
其次是下载链接:https://www.lanzouw.com/i1tff2h


这是一个DxF的FZPJ了登陆器之后 出现的注入DLL登陆DNF没功能, 这应该就是二次验证了。登陆器蓝屏探寻找到了蓝屏。 DLL不知道有没有暗装。探寻找不出来。
看了一看nspack 北斗壳于是我就打算脱壳。


载入OD


下断点 F9运行


esp 落脚点   到大跳F8


大跳落脚点


用多一次esp定律 就成这样了...


然后我一路F8 遇到了一个大跳 就来到这里



不知道是不是OEP新手并不知道怎么分辨是不是OEP然后我就用loadpe 来dump一下 发现还是有壳


接下来我就不知道该咋办了。。

我在论坛上找脱nspack壳的教程跟我进行的太不一样...开头一样 后面不一样, 是不是nspack的版本问题,因为我找不到这个版本的教程 还是被作者动过手脚
这可咋办求大佬 出个视频讲解一下... 谢谢了。


E少 发表于 2018-9-6 15:14

https://www.52hb.com/thread-39629-1-1.html OK了哦 {:5_188:}

E少 发表于 2018-9-6 15:41

这不是北斗壳吗

E少 发表于 2018-9-6 15:46

貌似是这里

E少 发表于 2018-9-6 15:51

这里才是正确的OEP

The_Monkey 发表于 2018-9-6 16:26

E少 发表于 2018-9-6 15:51
这里才是正确的OEP

这这这为啥OEP是个Call我还第一次见

The_Monkey 发表于 2018-9-6 16:30

E少 发表于 2018-9-6 15:51
这里才是正确的OEP

大神可以来个慢节奏的教程吗...你上一次的教程我只能看葫芦画瓢理解不了怎么找的。。只有补时间和登录验证是看懂了的。。。

E少 发表于 2018-9-6 16:59

The_Monkey 发表于 2018-9-6 16:26
这这这为啥OEP是个Call我还第一次见

mov eax,0x8那段才是OEP

The_Monkey 发表于 2018-9-6 18:37

E少 发表于 2018-9-6 16:59
mov eax,0x8那段才是OEP

找不到呀~。。。。 我疯狂F8 都到不了这里

E少 发表于 2018-9-6 18:42

The_Monkey 发表于 2018-9-6 18:37
找不到呀~。。。。 我疯狂F8 都到不了这里

肯定的啊 F8又不是万能的
页: [1] 2 3
查看完整版本: DxF的E盾DLL,nspack脱壳求助