手脱FSG2.0图文教程!图文教程哦!
手脱FSG2.0教程前言:一、脱壳真的是个蛮长而又艰辛的过程,我也是个小白,FSG2.0在压缩壳中算是比较困难的了,并不是说要球技术含量有多高,而是操作比较繁琐,即便是在我已经脱过一遍壳的情况下,再来做这份教程也花了将近三个小时时间才搞好。然而我自己第一次脱这个壳的时候用了将近1天的时间,一天哪,起初实在脱不掉的时候想着搜索一下看是否有比较好的教程,但是遗憾的是没有搜到比较多的有用信息(视频除外),所以只能苦逼的自己慢慢搞一天时间才脱掉!二、希望大家最好可以自己手动试着脱一下,俗话说的好,好记星不如烂笔头,你记性再好又有何用?
三、另外,我终于知道为什么论坛上几乎没有图文教程了,因为真的是太累了太累了太累了,你们说不多给点热心值能行吗?能行吗?能行吗?重要的事情要说三遍!!!注:本文中使用的脱壳例子为52破解的一个实战例子,感谢论坛的各位大神给例子我们实际操作。下面进入正题:
声明:本教程仅供学习交流,如有转载需注明作者信息
1. 查壳刚开始什么也没查到,这是点了核心扫描后的结果
file:///C:\Users\XUZHON~1\AppData\Local\Temp\msohtmlclip1\01\clip_image001.png2. 载入OD,开始脱壳第一行就是入口了,F8运行到第二行使用ESP定律,然后8次F9(有注释)
file:///C:\Users\XUZHON~1\AppData\Local\Temp\msohtmlclip1\01\clip_image003.png3. 运行完8次F9之后界面停留在这个位置
记得清除硬件断点,然后就是开始F8往下跑
file:///C:\Users\XUZHON~1\AppData\Local\Temp\msohtmlclip1\01\clip_image005.png4.向上跳转的下一行F4,然后F8,这个不多说
file:///C:\Users\XUZHON~1\AppData\Local\Temp\msohtmlclip1\01\clip_image007.png5.遇到第一个call,F7跟进去,基本上希望大家掌握一个小窍门,call后面的数字和地址比较接近的我们就F7跟进去,差的远的我们就F8
file:///C:\Users\XUZHON~1\AppData\Local\Temp\msohtmlclip1\01\clip_image009.png6.这里不多说
file:///C:\Users\XUZHON~1\AppData\Local\Temp\msohtmlclip1\01\clip_image011.png7.运行到这里了,注意看注释别跑飞了,别问我为什么要这样,因为我不是大神,这是我跑飞了无数次之后得出的结果
file:///C:\Users\XUZHON~1\AppData\Local\Temp\msohtmlclip1\01\clip_image013.png8.运行到紫色位置然后按照注视的地方操作,别问我为什么要这样,因为我不是大神,这是我跑飞了无数次之后得出的结果
file:///C:\Users\XUZHON~1\AppData\Local\Temp\msohtmlclip1\01\clip_image015.png9.运行到指定位置然后按照注释操作,仔细看清楚,这个紫色位置和上面紫色位置地址不一样的,没糊弄你们哦
file:///C:\Users\XUZHON~1\AppData\Local\Temp\msohtmlclip1\01\clip_image017.png10.这个位置前面说过,F7跟进,然后继续F8
file:///C:\Users\XUZHON~1\AppData\Local\Temp\msohtmlclip1\01\clip_image019.png11.还用多说吗?F7,然后继续F8
file:///C:\Users\XUZHON~1\AppData\Local\Temp\msohtmlclip1\01\clip_image021.png12.运行到这个位置的时候按照注释走,这里可能比较熟悉,但是看地址,发现这又是不同的地方
file:///C:\Users\XUZHON~1\AppData\Local\Temp\msohtmlclip1\01\clip_image023.png13.老规矩了,F7
file:///C:\Users\XUZHON~1\AppData\Local\Temp\msohtmlclip1\01\clip_image025.png14.不想说了,看注释
file:///C:\Users\XUZHON~1\AppData\Local\Temp\msohtmlclip1\01\clip_image027.png15.基本也是老样子了,看注释
file:///C:\Users\XUZHON~1\AppData\Local\Temp\msohtmlclip1\01\clip_image029.png16. 不想说了,看注释
file:///C:\Users\XUZHON~1\AppData\Local\Temp\msohtmlclip1\01\clip_image031.png17. 不想说了,看注释
file:///C:\Users\XUZHON~1\AppData\Local\Temp\msohtmlclip1\01\clip_image033.png18. 不想说了,看注释
file:///C:\Users\XUZHON~1\AppData\Local\Temp\msohtmlclip1\01\clip_image035.png19. 不想说了,看注释
file:///C:\Users\XUZHON~1\AppData\Local\Temp\msohtmlclip1\01\clip_image037.png20. 不想说了,看注释
file:///C:\Users\XUZHON~1\AppData\Local\Temp\msohtmlclip1\01\clip_image039.png21. 不想说了,看注释
file:///C:\Users\XUZHON~1\AppData\Local\Temp\msohtmlclip1\01\clip_image041.png22. 不想说了,看注释
file:///C:\Users\XUZHON~1\AppData\Local\Temp\msohtmlclip1\01\clip_image039.png23.一个向上跳转,记得是F2,F9,F2,然后继续F8,这都是我跑飞无数次之后的结果
file:///C:\Users\XUZHON~1\AppData\Local\Temp\msohtmlclip1\01\clip_image043.png24. 不想说了,看注释
file:///C:\Users\XUZHON~1\AppData\Local\Temp\msohtmlclip1\01\clip_image045.png25.一样的,F2,F9,F9,然后F8,不要犯懒
file:///C:\Users\XUZHON~1\AppData\Local\Temp\msohtmlclip1\01\clip_image043.png26. 不想说了,看注释
file:///C:\Users\XUZHON~1\AppData\Local\Temp\msohtmlclip1\01\clip_image047.png27.这里可以F4哈,我也不知道为什么,反正就是可以
file:///C:\Users\XUZHON~1\AppData\Local\Temp\msohtmlclip1\01\clip_image049.png28.这里看清楚注释,是直接F8,别乱跑,小心回不了家了
file:///C:\Users\XUZHON~1\AppData\Local\Temp\msohtmlclip1\01\clip_image051.png29.这里也可以F4的哈
file:///C:\Users\XUZHON~1\AppData\Local\Temp\msohtmlclip1\01\clip_image049.png30. 不想说了,看注释
file:///C:\Users\XUZHON~1\AppData\Local\Temp\msohtmlclip1\01\clip_image053.png31. 不想说了,看注释
file:///C:\Users\XUZHON~1\AppData\Local\Temp\msohtmlclip1\01\clip_image055.png32.这次贴的比较多,主要看注释运行,有注释的地方按照注释走,没注释就F8,别手残
file:///C:\Users\XUZHON~1\AppData\Local\Temp\msohtmlclip1\01\clip_image057.png33.F8,别乱按,小心剁手指
file:///C:\Users\XUZHON~1\AppData\Local\Temp\msohtmlclip1\01\clip_image059.png34.看着注释走
file:///C:\Users\XUZHON~1\AppData\Local\Temp\msohtmlclip1\01\clip_image061.png35.记得F8不是F7 记得F8不是F7 记得F8不是F7 重要的事情说三遍
file:///C:\Users\XUZHON~1\AppData\Local\Temp\msohtmlclip1\01\clip_image063.png36.妈的,终于到了,我快疯了,这里有的朋友就会问了,怎么什么都没有呢?哈哈,你可以点一下右键---分析---从模块中删除分析就显示出你熟悉的花花绿绿的代码了。
file:///C:\Users\XUZHON~1\AppData\Local\Temp\msohtmlclip1\01\clip_image065.png37.OEP都找到了那我就不介绍怎么脱壳了,手指头快废了,好累好累,不多给点热心对得起我吗?这个壳脱完了之后要手动查找ITA,这个比较容易我真的真的真的真的真的就不说了。
Jian丶ylt 发表于 2015-10-10 22:38
http://www.52pojie.cn/thread-10607-1-1.html
我说咋看着不大像FSG呢,这个是改动过了。FSG加的壳要比这个好脱点 苏紫方璇 发表于 2015-10-10 22:53
我说咋看着不大像FSG呢,这个是改动过了。FSG加的壳要比这个好脱点
{:301_1008:}PEID上扫描下来显示的是SFG2.0的呀 很不错。好详细。感谢分享 感谢楼主,,,吾爱精神^o^ 楼主能不能放一下例子的链接,这样我也可以试试 支持一下咯 图片太多了,眼以瞎{:1_906:} 写的不错 谢谢楼主的教程 苏紫方璇 发表于 2015-10-10 21:41
楼主能不能放一下例子的链接,这样我也可以试试
http://www.52pojie.cn/thread-10607-1-1.html zgc2012 发表于 2015-10-10 21:48
图片太多了,眼以瞎
本来就是给新手玩家看的,所以当然要尽量详细点喽
页:
[1]
2