國產北斗壓縮解殼指令碼,基於OM1.3
///////////////////////////////////////////////////////////////////////////////
//
// FileName : nSpack V1.3.oms (北斗程式壓縮 V1.3 脫殼指令碼)
// Author : chenjiwl
// Date : 2004-11-25 20:36
// Comment : Search "popad,popfd,jmp" to get the OEP
// 透過搜尋特徵碼,來得到OEP地址
//
///////////////////////////////////////////////////////////////////////////////
EOB FindBreak //當中斷時轉到 FindBreak
invoke Find, eip, "619DE9????????" //搜尋特徵碼
cmp reg00,-1 //是否找到特徵碼
je err //如果沒找到,則顯示錯誤資訊
mov reg01, reg00
invoke bp, reg01 //設定中斷
run //F9
halt
err:
invoke msg,"錯誤:可能不是使用nSpack加殼的程式!\n請檢查後再執行本指令碼。"
halt
FindBreak:
invoke BC, reg01 //清除中斷
stepover //F8
invoke msg, " 程式碼窗中有三個連續的程式碼是:\n1-->popad\n2-->popfd\n3-->jmp ????????\n\n這就是關鍵程式碼,jmp所指向的位置就是OEP地址。\n請按F8跳轉到這個地址,並Dump出來修復! "