记录小白的第一次CM
# 易语言(FSG的壳)程序实例
单步F8,到push ebp,使用ESP定律,向下单步,jmp处就是ESP的入口
到达OEP
使用LoedPE工具,修正镜像大小,完整转存
程序无法打开,使用Import,输入OEP,但是一看这就不行
进行修复,程序肯定不能运行,此时需要手动查找IAP
在OEP内找到第一个CALL
CALL内的0x49A1DC-400000=0009A1DC,能够在import内找到
此时在OD命令行输入d 49A1DC,回车
向上找,直到全为00000000,记住此时的地址0049A00077DA7842advapi32.RegOpenKeyExA
然后滚轮向下,直到没有注释时即可,记住此处的地址。
0049A37C7FFFFFFF
打开import
在EVA处输入0049A000-400000=0009A000
在大小处输入0049A37C-400000=0009A37C(直接输入1000,输入计算的值软件会直接卡死)
遇到无效函数时可以先打开软件,使用等级三修复
程序已经可以成功运行了
此时将脱壳后的软件载入OD
使用PUSH大法,程序就爆破成功了
[原软件链接](https://www.52pojie.cn/thread-1155084-1-1.html)
感谢上面大哥的分享
jy04468108 发表于 2021-4-9 08:37
FSG?感觉和UPX的脱法差不多啊。
不知道,我是小白{:1_918:},感觉和UPX比,FSG需要手动查找IAP caiji1 发表于 2021-4-9 09:39
不知道,我是小白,感觉和UPX比,FSG需要手动查找IAP
IAP是什么,昨天刚更新完PE文件的导入表
如果我没有记错的话应该是IAT(Import Address Table)导入地址表吧?{:301_974:} FSG?感觉和UPX的脱法差不多啊。 感谢楼主分享 写的不错,挺基础的
不过壳有必要脱吗?带壳也能做吧 感谢楼主分享 可以照葫芦画瓢试一试
感谢楼主分享 云在天 发表于 2021-4-9 13:52
写的不错,挺基础的
不过壳有必要脱吗?带壳也能做吧
没试过,看见壳就想试着脱壳试试:lol 虽然看不懂,感觉好高大上
页:
[1]
2