To飘云，终于脱掉了FSG2.0主程序的壳，做个动画吧

wofan

其实真的是超级简单的一个过程了，我原先走在一个死胡同里……真是好害羞
这个壳应该早被人破烂了……
PYG的二级会员snetluck说他会脱这个壳，并愿意加我QQ，可是当我加他时，他却拒绝了
有趣……
不过他的那个脱壳文件在我的电脑里不能运行。也许是跨平台的问题。
刚才我突然发现……
原来它是这么简单……

为了减少文件大小，先总结，做动画时，就不必打字了。

OD载入
F8单步两步就在堆栈区看到FSG系列壳的OEP
这个是FSG2.0，它的OEP就是00401000
右击它，选择在反汇编窗口跟随

看到一片无法认识的数据
在光标停靠处右击，断点－运行到所选     也就是F4键的作用了。

程序执行，并断在这里

这时已经运行到了OEP了。

用LordPE脱壳
或用OD自带的脱壳插件，都可以脱掉它


这时千万不要退出OD

让FSG主程序依然在运行中

以便后面修复输入表。

FSG壳是需要修复输入表的

如果直接用RecImport.exe的完全自动修复功能，修复后是不能运行的

因为RAV  和  Size  不正确呀

这也是我前面碰到的问题。

不过这个壳的RAV是正确的

这也省了我们查找RAV的过程  我也正是在这里卡壳了。

OEP 显示为154 需要修正为正确的OEP ，好，我们修正为1000
然后点击 自动搜索IAT ，绝妙的是，它能找到真正的RAV：8FFC
SIZE，显示只有4 这是不可能的了，我们也填入1000吧
翦掉多余的指针。
修复，能正常运行。文件大小84KB
再用LordPE来Rebuild PE ，只有66.7KB了，减少了不少。
OK

虽然用PEID扫描还是显示FSG2.0壳，那只是PE表中未删除相关区段引起的，

当你用OD载入时，就直接停在程序本来的OEP了，不会显示可能被加壳之类的提示了。

瞎猫抓老鼠，脱了这个壳。

事后在命令行：DD 408FFC  确实看到了  二级会员snetluck   所列出的那个东东了 那个SIZE也是正确的。
证明他的脱壳是正确的。只是跨平台的问题。
虽然不能做朋友，还是感谢他的热心。

wofan[OCN][PYG][DCG]

23:59 2006-8-3

另：附件中有重建PE的脱壳文件和未脱壳的主程序，所有有关我的文档，如果需要密 码，密码就是我的QQ

飘云

谢谢，学习~~

haiyun

感谢～～学习了～～

xingbing

原帖由 飘云 于 2006-8-4 01:57 发表
谢谢，学习~~

飘云老大是高手。

snetluck

。。。好象我没说加你哦~~~
是这位朋友哦：qingmu16
没看清楚哦，可能你脱壳就和你看文章一样哦~（粗心~~）

bfqyygy

呵呵.学习了!!

wofan

原帖由 snetluck 于 2006-8-4 14:27 发表
。。。好象我没说加你哦~~~
是这位朋友哦：qingmu16
没看清楚哦，可能你脱壳就和你看文章一样哦~（粗心~~）

还真是这样，不好意思噢！算了，加什么加，不是有个QQ群么，就不单独加了。

野猫III

感谢楼主兄弟。学习了。。。

Mysoft

感谢。。。。学习中。。

qingmu16

我没有进QQ群啊，老大没加我。。。。晕
我有一个SVKP 1.3x -> Pavol Cerven壳脱不掉，那位高人指点一下啊