吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 10112|回复: 13
收起左侧

[Windows] FSG 2.0脱壳+修复经验分享

[复制链接]
tysan 发表于 2010-7-18 21:09
昨天还为这个壳困扰着,在论坛搜索了下,没有类似的帖子,才开了一个讨论帖子:http://www.52pojie.cn/thread-52689-1-1.html  

后来通过晚上的不断分析和总结前人的经验,终于成功学到了方法,特此把我的一点经验和大家交流和分享下!

由于是动画教程,又比较大,就传了网盘,就设置个回复可见地址吧!隐藏不可以用,直接丢出地址。

大家好,我是闪电小子,论坛ID tysan
对于FSG这个壳,我弄了几天也没有弄出来,昨天找了很多的教cheng 。总结了下前人
的方法,今天终于修复成功了。这里把我的一些经验分享给大家,开始吧
查壳:FSG 2.0 -> bart/xt  
OD载人,这里我就用ESP法来定下OEP吧,这里我先前用了下SFX自动来查找
单步运行到这里,
0040015B     94               xchg eax,esp                  FSG_2_0.004144F0
004144F0           004001E8      FSG_2_0.004001E8
004144F4           004001DC      FSG_2_0.004001DC
004144F8           004001DE      FSG_2_0.004001DE
004144FC           004010CC      FSG_2_0.004010CC  选择这个,这里我用的是记事本压缩的程
序,貌似就是10cc  ,反正选择第4个就没错了。然后到数据窗口跟随。这里我的OD是老一点的版本
。不是到数据窗口跟随,反正意思是一样的。这里,需要选择第一行,右键断点,这里的ESP有的特
殊。不是选择 硬件访问,而是硬件执行,F9运行,这里看到的不是OEP,而是一个从来没见过的
吧,没关系,既然是特殊的,那就特殊的方法,看操作。右键,分析,从模块中删除分析,就差不
多啦,已经到OEP了。这里有2中脱壳的方法,可以用OD自带的进行脱,先来第一种
通过查壳 Microsoft Visual C++ 6.0 SPx Method 1 信息,可以知道已经脱掉了,而且可以正常运
行。接下来用loadpe来脱下,看到了吧,打开失败。这里需要修复,来我们修复下。这里我们用通
用的方法来修复下,看,没反应,无法打开,修复失败,这个也是一个特殊的修复地方,我们来看

004010D3     FF15 E4634000        call dword ptr ds:[4063E4]                        ; kernel32.GetCommandLineA
我们找到最近的一个call的地址,ds:[4063E4]  看到了这些了么,呵呵,然后我们在数据窗口这里
搜索这个表达试  快捷键是ctrl+G  然后向上找到0区域,就是这里了,这里是没有程序代码的
我们取得第一个不是0区域的地址
004062E4     3A                                             :
地址:004062E4   这样我们又找到了一个修复的条件  这里只要填写后四位就ok了:62E4
其他不要变,也不愿点击 自动搜索IAT  我们修改好RAV之后 直接 获取输入表

然后显示无效函数  显示无效的 直接删掉  错了  是剪切。
ok  ,已经是全部正确的了,呵呵 已经修复了 我们来看看修复成功了么? 好的 已经成功打开了
Microsoft Visual C++ 6.0 SPx Method 1  查壳信息,已经成功脱掉!
这个是我昨天晚上发的一个帖子。因为昨天用的od不一样,他找到的oep地址竟然是错的。真是悲剧
呀,这个版主友友就正确找到了oep  感谢他。 因为我这里是虚拟机,吾爱的专版od也用不了,
一用就蓝屏,不知道为什么,而我真实机器装的是2008系统,打开psg2.0的壳就报错,也没法用论
坛的od  而导致了我一直用错的oep弄了很久。呵呵,不过最后,还是学习到了脱壳的方法,也很高
兴,这里就把这个经验一起和大家分享下啦,老鸟飞过~~




教程地址:http://down.qiannao.com/space/file/tysan/-4e0a-4f20-5206-4eab/FSG-00202.0-8131-58f3-002b-4fee-590d-7ecf-9a8c-5206-4eab.rar/.page

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

xu1122 发表于 2010-7-18 21:22
本帖最后由 xu1122 于 2010-7-18 21:39 编辑

用OD原带的脱壳也是无法发开, 后面的修复方法试验了下,可用!~[s:206]
 楼主| tysan 发表于 2010-7-18 21:42
回复 2# xu1122


      用od自带的脱壳不行? 是否与版本有关系呢? 我之前的版本连OEP也找错了,真是杯具
sq2003 发表于 2010-7-18 22:15
kuaile922 发表于 2010-7-18 22:40
学习中。。。。。
yezizhu78 发表于 2010-7-18 22:45
感谢教程拿去慢慢研究
我爱破解888 发表于 2010-7-19 00:11
没回复也看见了
 楼主| tysan 发表于 2010-7-19 00:42
回复 7# 我爱破解888


    没法设置隐藏 ,我郁闷~~
sjg8 发表于 2010-9-15 09:12
学习了新的方法,辛苦了
king6725 发表于 2013-3-17 18:04
谢谢分享经验~~~
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 09:36

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表