看了看,最近"北斗星数据压缩"好像很受大家欢迎啊,有不少兄弟已经发了N多的脱壳脚本了,我也来凑个热闹.
用"北斗星数据压缩 2.3"加壳的程序的脱壳就没什么好说得了,今天有空看了下其主程序的壳子(与2.0相比有了些变化).
其简单脱法如下:

设置OllyDbg忽略所有异常选项。用IsDebug插件去掉OllyDbg的调试器标志。

0040101B > $- E9 11641200     jmp nSpack.00527431
//OD载入后停在这里

下断：bp VirtualAlloc
F9运行, 中断3次后 Alt+f9返回,
Ctrl+a分析代码

Ctrl+s 搜索如下内容:

call dword ptr ss:[ebp-3A6]
pop edx
pop ebx
pop ecx
pop esi
add ebx, 0C

//会找到这:

004DC8FA   .  FF95 5AFCFFFF   call dword ptr ss:[ebp-3A6]
004DC900   .  5A              pop edx
004DC901   .  5B              pop ebx
004DC902   .  59              pop ecx
004DC903   .  5E              pop esi
004DC904   .  83C3 0C         add ebx, 0C
004DC907   .^ E2 E1           loopd short nSpack.004DC8EA
004DC909   >  61              popad
004DC90A   .  9D              popfd
004DC90B   .^ E9 58F0F6FF     jmp nSpack.0044B968    //飞向光明之巅

就到这里吧,其他就不多说了.(啊,别扔石头,只是灌水而已,嘿嘿)

[培训]科锐逆向工程师培训第53期2025年7月8日开班！