nspack脱壳 实战

tie1zhu

nspack脱壳 实战

看了 B站上面的《吾爱破解论坛官方入门教学培训（Windows逆向入门）》，尝试完成了第一课作业二，写个帖子记录一下。

工具：

• ExeinfoPe：查壳工具。
• OllyDbg：调试程序，寻找OEP。
• LordPE：抓取内存映像【dump】。
• ImportREConstructor：重建输入表。

下文中的演示文件来自于 爱盘， 吾爱破解论坛官方入门教学培训第一期文件夹下面。

---

使用ESP定律法脱壳。

具体的步骤：

• 查壳，nspack壳（又叫 北斗壳），，压缩壳。
• 
• 使用OllyDbg调试，单步步过一次。在ESP上面右键- 数据窗口中跟随。
• 
• 数据区-右键-断点-硬件访问-word。
• 
• 运行。
• 
• 删除硬件断点。
• 
• 单步执行一次，看到了这种一行一个字节的情况。
• 
• 右键-分析-分析代码，即可看到OEP   1DDAC。
• 
• 使用LordPE来dump内存映像。
• 右键-修正镜像大小，右键-完整转存。
• 
• 显示 程序正常初始化失败。看来是还没有重建IAT。
• 
• 使用ImportREConstructor重建输入表，选进程，填写OEP-IAT自动搜索-获取导入表-修正转储 到刚才dump下来的文件。
• 
• 最后运行成功。
• 

默认密码：52pojie 或者 www.52pojie.cn

wsky886

大神好，这边有一个小软件，3M大小，单机版的，可以帮忙看看么

eatron

想看看你的作业，下载了还要密码，浪费了一个B

tie1zhu

eatron 发表于 2026-1-13 23:45
想看看你的作业，下载了还要密码，浪费了一个B

默认密码：52pojie

wuxiajian

楼主有没有支持64位的全功能、全插件的OD呀？

gggf007

学习脱壳第一步！

DiMouse

太厉害了,我最近也在B站看这个视频教程,但是xp虚拟机太难用了,很多插件不支持,想将工具复制到xp上都不行