原帖由 jh0262 于 2006-6-1 22:38 发表
就是啊!这种壳太难了,希望有人做个脱壳教程啊!关键是修复很难啊!!!!
老大的修复动画:
https://www.chinapyg.com/viewthread.php?tid=4866&extra=page%3D1
脱壳过程和楼主相同。。。学习啦!
楼上的方法不行的
这个可以吗?今天才看到,试着做了一下!
Mark一下,日后再学习....
学习..
转自:
http://www.unpack.cn/viewthread.php?tid=4420&extra=page%3D1
标题: 再谈FSG脱壳
黑暗之子 发表于: 2006-5-11 17:45
--------------------------------------------------------------------------------
**************************************************************************
现在用得多的FSG有1.33和2.0,压缩效果也还可以
遇到FSG加壳的程序我们一般都是拿出脱壳机解决问题
不过脱壳机有时候也不好用
在这里我总结一下1.33和2.0的脱壳
给像我一样的菜鸟提供一点经验
因为FSG是压缩壳,找到OEP运行过去DUMP+修复就OK了
**************************************************************************
FSG1.33
OD载入,CTRL+B搜索5655,上面紧接的转跳地址就是OEP了
CTRL+G直接到OEP,F4,然后DUMP并修复
最后就是优化一下大小
over
**************************************************************************
FSG2.0
OD载入,两次F8,看右下角堆栈窗口
紧接LoadLibraryA上面的就是OEP值
CTRL+G直接到OEP,F4,然后DUMP并修复
最后就是优化一下大小
over
呵呵,终于能脱这个壳了,能修复了!
修复比较难!不过也能搞定!
[ 本帖最后由 cxx17 于 2006-6-12 20:56 编辑 ]
01000154 >8725 6CF40101 XCHG DWORD PTR DS:,ESP ; f8单步
0100015A 61 POPAD ; f8单步
0100015B 94 XCHG EAX,ESP ; f8单步到这里,看右下角的窗口(那个窗口叫什么名字啊?晕,不知道了!)
右下角窗口里的内容:
0101F470 010001E8NOTEPAD.010001E8
0101F474 010001DCNOTEPAD.010001DC
0101F478 010001DENOTEPAD.010001DE
0101F47C 0100739DNOTEPAD.0100739D 这里0100739D 就是程序的oep
0101F480 > 7C801D77kernel32.LoadLibraryA
0101F484 > 7C80AC28kernel32.GetProcAddress
直接到程序的oep 0100739D处,f4运行到这里:
0100739D .6A 70 PUSH 70 程序的oep
0100739F .68 98180001 PUSH NOTEPAD.01001898
010073A4 .E8 BF010000 CALL NOTEPAD.01007568
010073A9 .33DB XOR EBX,EBX
010073AB .53 PUSH EBX ; /pModule => NULL
010073AC .8B3D CC100001 MOV EDI,DWORD PTR DS: ; |kernel32.GetModuleHandleA
010073B2 .FFD7 CALL EDI ; \GetModuleHandleA
用LordPE_fix脱壳,用importrec修复:
oep:739d
rav:1000
大小:2e8
修复后就能正常运行.
标记一下先,看看脱壳修复需要多少时间?
我用脚本脱的,脱掉壳了,运行不了,不会是有自校验吧。。。。
上传附件。。。希望猫兄解释一下