手脱 NSpack(北斗压缩)壳 V2.8版自身被加的壳(3层壳)

////////////////////////////////////////////////////////////////////////////////////////////
文件名称：脱壳记录
目标程序：NSpack(北斗压缩)壳 V2.8版
操作环境：Windows XP-SP2
使用工具：Ollydbg 1.10版
编写作者：Coderui
编写时间：2007-6-14
注明信息：大家要注意，这里脱的不是用NSpack加过壳的程序，而是脱NSpack这个加壳软件所加的壳。
---------------------------------------------------------------------------------------------
前言：通过分析知道NSpack(北斗压缩)壳 V2.8版加壳程序一共加了三层保护壳，下边是脱壳记录！
---------------------------------------------------------------------------------------------
第一步：手脱第一层未知壳

OD设置：不忽略任何异常
006103B1 >   81E8 2F6D517A    SUB EAX,7A516D2F                       ;程序启动停在人口点(未知壳)
006103B7     81C0 2F6D517A    ADD EAX,7A516D2F
006103BD     894424 FC        MOV DWORD PTR SS:[ESP-4],EAX
                    .
                    .
                    .
006105F4    /EB 00            JMP SHORT nSpack.006105F6
006105F6    \0F85 0A000000    JNZ nSpack.00610606
006105FC     0F00E3           VERR BX                                ;向后找到这里后按F4到这里
006105FF     E9 B5000000      JMP nSpack.006106B9
00610604     EB 00            JMP SHORT nSpack.00610606
                    .
                    .
                    .
006107F0     C3               RETN                                   ;向后找到这里后按F4到这里,再单步F8一次
006107F1     A8 20            TEST AL,20
006107F3   ^ E3 89            JECXZ SHORT nSpack.0061077E
006107F5     5E               POP ESI
006107F6     9C               PUSHFD
                    .
                    .
                    .
00610045     60               PUSHAD                                 ;上次的F8会跳到这里
00610046     57               PUSH EDI
00610047     8D3B             LEA EDI,DWORD PTR DS:[EBX]
00610049     81C7 00000000    ADD EDI,0
0061004F     87DF             XCHG EDI,EBX
                    .
                    .
                    .
006102C6     5E               POP ESI
006102C7   ^ E9 3DFFFFFF      JMP nSpack.00610209
006102CC     60               PUSHAD                                 ;向后找到这里后按F4到这里