NsPack3.x脱壳手记

发现是NsPack3.x的壳

使用ESP守恒快速脱壳

F9遇到popfd后下面的jmp就是通往OEP了


打开LordPE准备转储映像, 首先调整下ImageSize, 接着dump full

接着不要退出目前的调试, 打开Scylla修复IAT, 把OEP的VA地址输入到OEP处, 接着按照如下图所示步骤

完成后如下, 但NsPack3.x会破坏IAT表, 还需要查看下IAT的情况

通过Scylla可以知道IAT位于0x402000处, 在数据窗口转到该位置

将其转成地址:

发现了IAT表中有0存在, 了解过PE结构的可能会知道一般IAT表中0代表结束, 也就是说NsPack3.x把IAT表给中断了, 下面进行修复

将IAT表的大小设置成一个非常大的值, 这样就会搜索很大范围内的IAT内容而忽略了IAT表中存在0造成截断的影响

接着把无效的部分删除

完成后就可以Fix dump了, 这样就完成了对IAT表的修复, 注意这里Fix Dump后会要你选择一个exe文件, 你要选择之前通过LordPE转储下来的exe, 因为Scylla是修复转储, 那肯定是在dump文件的基础上。

结果:

(完)