To飘云,终于脱掉了FSG2.0主程序的壳,做个动画吧
其实真的是超级简单的一个过程了,我原先走在一个死胡同里……真是好害羞这个壳应该早被人破烂了……
PYG的二级会员snetluck说他会脱这个壳,并愿意加我QQ,可是当我加他时,他却拒绝了
有趣……
不过他的那个脱壳文件在我的电脑里不能运行。也许是跨平台的问题。
刚才我突然发现……
原来它是这么简单……
为了减少文件大小,先总结,做动画时,就不必打字了。
OD载入
F8单步两步就在堆栈区看到FSG系列壳的OEP
这个是FSG2.0,它的OEP就是00401000
右击它,选择在反汇编窗口跟随
看到一片无法认识的数据
在光标停靠处右击,断点-运行到所选 也就是F4键的作用了。
程序执行,并断在这里
这时已经运行到了OEP了。
用LordPE脱壳
或用OD自带的脱壳插件,都可以脱掉它
这时千万不要退出OD
让FSG主程序依然在运行中
以便后面修复输入表。
FSG壳是需要修复输入表的
如果直接用RecImport.exe的完全自动修复功能,修复后是不能运行的
因为RAV和Size不正确呀
这也是我前面碰到的问题。
不过这个壳的RAV是正确的
这也省了我们查找RAV的过程我也正是在这里卡壳了。
OEP 显示为154 需要修正为正确的OEP ,好,我们修正为1000
然后点击 自动搜索IAT ,绝妙的是,它能找到真正的RAV:8FFC
SIZE,显示只有4 这是不可能的了,我们也填入1000吧
翦掉多余的指针。
修复,能正常运行。文件大小84KB
再用LordPE来Rebuild PE ,只有66.7KB了,减少了不少。
OK
虽然用PEID扫描还是显示FSG2.0壳,那只是PE表中未删除相关区段引起的,
当你用OD载入时,就直接停在程序本来的OEP了,不会显示可能被加壳之类的提示了。
瞎猫抓老鼠,脱了这个壳。
事后在命令行:DD 408FFC确实看到了二级会员snetluck 所列出的那个东东了 那个SIZE也是正确的。
证明他的脱壳是正确的。只是跨平台的问题。
虽然不能做朋友,还是感谢他的热心。
wofan
23:59 2006-8-3
另:附件中有重建PE的脱壳文件和未脱壳的主程序,所有有关我的文档,如果需要密 码,密码就是我的QQ 谢谢,学习~~ 感谢~~学习了~~ 原帖由 飘云 于 2006-8-4 01:57 发表
谢谢,学习~~
飘云老大是高手。 。。。好象我没说加你哦~~~
是这位朋友哦:qingmu16
没看清楚哦,可能你脱壳就和你看文章一样哦~(粗心~~) 呵呵.学习了!! 原帖由 snetluck 于 2006-8-4 14:27 发表
。。。好象我没说加你哦~~~
是这位朋友哦:qingmu16
没看清楚哦,可能你脱壳就和你看文章一样哦~(粗心~~)
还真是这样,不好意思噢!算了,加什么加,不是有个QQ群么,就不单独加了。 感谢楼主兄弟。学习了。。。 感谢。。。。学习中。。 我没有进QQ群啊,老大没加我。。。。晕
我有一个SVKP 1.3x -> Pavol Cerven壳脱不掉,那位高人指点一下啊