FSG 2.0脱壳+修复经验分享
昨天还为这个壳困扰着,在论坛搜索了下,没有类似的帖子,才开了一个讨论帖子:http://www.52pojie.cn/thread-52689-1-1.html后来通过晚上的不断分析和总结前人的经验,终于成功学到了方法,特此把我的一点经验和大家交流和分享下!
由于是动画教程,又比较大,就传了网盘,就设置个回复可见地址吧!隐藏不可以用,直接丢出地址。
大家好,我是闪电小子,论坛ID tysan
对于FSG这个壳,我弄了几天也没有弄出来,昨天找了很多的教cheng 。总结了下前人
的方法,今天终于修复成功了。这里把我的一些经验分享给大家,开始吧
查壳:FSG 2.0 -> bart/xt
OD载人,这里我就用ESP法来定下OEP吧,这里我先前用了下SFX自动来查找
单步运行到这里,
0040015B 94 xchg eax,esp FSG_2_0.004144F0
004144F0 004001E8 FSG_2_0.004001E8
004144F4 004001DC FSG_2_0.004001DC
004144F8 004001DE FSG_2_0.004001DE
004144FC 004010CC FSG_2_0.004010CC选择这个,这里我用的是记事本压缩的程
序,貌似就是10cc,反正选择第4个就没错了。然后到数据窗口跟随。这里我的OD是老一点的版本
。不是到数据窗口跟随,反正意思是一样的。这里,需要选择第一行,右键断点,这里的ESP有的特
殊。不是选择 硬件访问,而是硬件执行,F9运行,这里看到的不是OEP,而是一个从来没见过的
吧,没关系,既然是特殊的,那就特殊的方法,看操作。右键,分析,从模块中删除分析,就差不
多啦,已经到OEP了。这里有2中脱壳的方法,可以用OD自带的进行脱,先来第一种
通过查壳 Microsoft Visual C++ 6.0 SPx Method 1 信息,可以知道已经脱掉了,而且可以正常运
行。接下来用loadpe来脱下,看到了吧,打开失败。这里需要修复,来我们修复下。这里我们用通
用的方法来修复下,看,没反应,无法打开,修复失败,这个也是一个特殊的修复地方,我们来看
看
004010D3 FF15 E4634000 call dword ptr ds: ; kernel32.GetCommandLineA
我们找到最近的一个call的地址,ds:看到了这些了么,呵呵,然后我们在数据窗口这里
搜索这个表达试快捷键是ctrl+G然后向上找到0区域,就是这里了,这里是没有程序代码的
我们取得第一个不是0区域的地址
004062E4 3A :
地址:004062E4 这样我们又找到了一个修复的条件这里只要填写后四位就ok了:62E4
其他不要变,也不愿点击 自动搜索IAT我们修改好RAV之后 直接 获取输入表
然后显示无效函数显示无效的 直接删掉错了是剪切。
ok,已经是全部正确的了,呵呵 已经修复了 我们来看看修复成功了么? 好的 已经成功打开了
Microsoft Visual C++ 6.0 SPx Method 1查壳信息,已经成功脱掉!
这个是我昨天晚上发的一个帖子。因为昨天用的od不一样,他找到的oep地址竟然是错的。真是悲剧
呀,这个版主友友就正确找到了oep感谢他。 因为我这里是虚拟机,吾爱的专版od也用不了,
一用就蓝屏,不知道为什么,而我真实机器装的是2008系统,打开psg2.0的壳就报错,也没法用论
坛的od而导致了我一直用错的oep弄了很久。呵呵,不过最后,还是学习到了脱壳的方法,也很高
兴,这里就把这个经验一起和大家分享下啦,老鸟飞过~~
教程地址:http://down.qiannao.com/space/file/tysan/-4e0a-4f20-5206-4eab/FSG-00202.0-8131-58f3-002b-4fee-590d-7ecf-9a8c-5206-4eab.rar/.page 本帖最后由 xu1122 于 2010-7-18 21:39 编辑
用OD原带的脱壳也是无法发开, 后面的修复方法试验了下,可用!~ 回复 2# xu1122
用od自带的脱壳不行? 是否与版本有关系呢? 我之前的版本连OEP也找错了,真是杯具 下来试试怎么样 学习中。。。。。 感谢教程拿去慢慢研究 没回复也看见了;www 回复 7# 我爱破解888
没法设置隐藏 ,我郁闷~~ 学习了新的方法,辛苦了 谢谢分享经验~~~
页:
[1]
2