ESP定律脱壳——NsPack3.x脱壳
首先进行查壳,NsPack
将程序拖入x64dbg
程序入口处标志性的push
F8单步,发现仅有esp寄存器有变化
在esp上右键,在内存窗口查看,下硬件断点
F9运行程序,程序断在pop之后。
使用F7单步两次后来到程序入口,oep
使用自带的scylla脱壳
填入正确的OEP,自动查找IAT并且获取导入的库,dump出程序,再进行修复。OEP的位置可以下个断点,方便下一次调试
对脱壳后的程序查壳
脱壳成功
首先进行查壳,NsPack
将程序拖入x64dbg
程序入口处标志性的push
F8单步,发现仅有esp寄存器有变化
在esp上右键,在内存窗口查看,下硬件断点
F9运行程序,程序断在pop之后。
使用F7单步两次后来到程序入口,oep
使用自带的scylla脱壳
填入正确的OEP,自动查找IAT并且获取导入的库,dump出程序,再进行修复。OEP的位置可以下个断点,方便下一次调试
对脱壳后的程序查壳
脱壳成功
浙公网安备 33010602011771号