fsg2.0的简单脱壳方法

野猫III

原帖由 jh0262 于 2006-6-1 22:38 发表
就是啊!这种壳太难了,希望有人做个脱壳教程啊!关键是修复很难啊!!!!

老大的修复动画：
https://www.chinapyg.com/viewthr ... &extra=page%3D1

脱壳过程和楼主相同。。。学习啦！

爱我

楼上的方法不行的

一帆风

这个可以吗？今天才看到，试着做了一下！

黑夜彩虹

Mark一下，日后再学习....

kplp

　学习．．

wzwgp

转自：
http://www.unpack.cn/viewthread.php?tid=4420&extra=page%3D1
标题: 再谈FSG脱壳
黑暗之子 发表于: 2006-5-11 17:45
--------------------------------------------------------------------------------

**************************************************************************
现在用得多的FSG有1.33和2.0，压缩效果也还可以
遇到FSG加壳的程序我们一般都是拿出脱壳机解决问题
不过脱壳机有时候也不好用
在这里我总结一下1.33和2.0的脱壳
给像我一样的菜鸟提供一点经验
因为FSG是压缩壳，找到OEP运行过去DUMP＋修复就OK了
**************************************************************************
FSG1.33
OD载入，CTRL+B搜索5655，上面紧接的转跳地址就是OEP了
CTRL+G直接到OEP，F4，然后DUMP并修复
最后就是优化一下大小
over
**************************************************************************
FSG2.0
OD载入，两次F8，看右下角堆栈窗口
紧接LoadLibraryA上面的就是OEP值
CTRL+G直接到OEP，F4，然后DUMP并修复
最后就是优化一下大小
over

cxx17

呵呵,终于能脱这个壳了,能修复了!
修复比较难!不过也能搞定!

[ 本帖最后由 cxx17 于 2006-6-12 20:56 编辑 ]

cxx17

01000154 >  8725 6CF40101   XCHG DWORD PTR DS:[101F46C],ESP          ; f8单步
0100015A    61              POPAD                                    ; f8单步
0100015B    94              XCHG EAX,ESP                             ; f8单步到这里，看右下角的窗口（那个窗口叫什么名字啊？晕，不知道了！）

右下角窗口里的内容:
0101F470   010001E8  NOTEPAD.010001E8
0101F474   010001DC  NOTEPAD.010001DC
0101F478   010001DE  NOTEPAD.010001DE
0101F47C   0100739D  NOTEPAD.0100739D          这里0100739D 就是程序的oep
0101F480 > 7C801D77  kernel32.LoadLibraryA
0101F484 > 7C80AC28  kernel32.GetProcAddress

直接到程序的oep   0100739D处,f4运行到这里:
0100739D   .  6A 70         PUSH 70                                                     程序的oep
0100739F   .  68 98180001   PUSH NOTEPAD.01001898
010073A4   .  E8 BF010000   CALL NOTEPAD.01007568
010073A9   .  33DB          XOR EBX,EBX
010073AB   .  53            PUSH EBX                                 ; /pModule => NULL
010073AC   .  8B3D CC100001 MOV EDI,DWORD PTR DS:[10010CC]           ; |kernel32.GetModuleHandleA
010073B2   .  FFD7          CALL EDI                                 ; \GetModuleHandleA

用LordPE_fix脱壳,用importrec修复:

oep:739d
rav:1000
大小:2e8
修复后就能正常运行.

黑夜彩虹

标记一下先，看看脱壳修复需要多少时间？

黑夜彩虹

我用脚本脱的，脱掉壳了，运行不了，不会是有自校验吧。。。。


上传附件。。。希望猫兄解释一下