网站 › 『脱壳破解区』 › FSG2.0的壳大牛们麻烦进来帮下我哦

喜欢做娃娃 发表于 2011-7-10 22:17

FSG2.0的壳大牛们麻烦进来帮下我哦

如果发错位置~麻烦版主删下~~再告诉我应该正确往哪点发哦@



PEID查壳结果：FSG 2.0 -> bart/xt




00400154 >8725 20834E00   xchg dword ptr ds:,esp         ; 入口停在这点
0040015A    61            popad
0040015B    94            xchg eax,esp                           ; ESP0012FFC4跟中
0040015C    55            push ebp
0040015D    A4            movs byte ptr es:,byte ptr ds:
0040015E    B6 80         mov dh,80
00400160    FF13            call dword ptr ds:
00400162^ 73 F9         jnb short 5_FSG2_0.0040015D
00400164    33C9            xor ecx,ecx
00400166    FF13            call dword ptr ds:
00400168    73 16         jnb short 5_FSG2_0.00400180
0040016A    33C0            xor eax,eax
0040016C    FF13            call dword ptr ds:
0040016E    73 1F         jnb short 5_FSG2_0.0040018F
00400170    B6 80         mov dh,80



004001E8    02D2            add dl,dl                              ; 跟中到这点 继续单步
004001EA    75 05         jnz short 5_FSG2_0.004001F1            ; 跳到retn   rent 他就回到
004001EC    8A16            mov dl,byte ptr ds:
004001EE    46            inc esi
004001EF    12D2            adc dl,dl
004001F1    C3            retn



00400154 >8725 20834E00   xchg dword ptr ds:,esp         ; 入口停在这点
0040015A    61            popad
0040015B    94            xchg eax,esp                           ; ESP0012FFC4跟中
0040015C    55            push ebp
0040015D    A4            movs byte ptr es:,byte ptr ds:
0040015E    B6 80         mov dh,80
00400160    FF13            call dword ptr ds:
00400162^ 73 F9         jnb short 5_FSG2_0.0040015D            ; rent回来这点   回来到入口下来一点咯~
00400164    33C9            xor ecx,ecx
00400166    FF13            call dword ptr ds:

大牛们~在线等待 哦~~谢谢~

喜欢做娃娃 发表于 2011-7-10 22:21

在线等待~。。。

kelvar 发表于 2011-7-10 22:35

本帖最后由 kelvar 于 2011-7-10 22:39 编辑

http://wenku.baidu.com/view/9f268666f5335a8102d2200c.html
给你篇文章看看。不知道能解决问题不
FSG 2.0的壳貌似用直接看堆栈找OEP的方法最简单。

FSG2.0 主程序.

OD载入运行，无任何异常，判断其为压缩壳。

看了一些FSG脱壳教学,太慢,累.

00400154 > 8725 94334100   xchg dword ptr ds:, esp
0040015A    61            popad      //还是可以对ESP定律入手,不过有些变化.
0040015B    94            xchg eax, esp //F8运行到这里,看堆栈.
0040015C    55            push ebp
0040015D    A4            movs byte ptr es:, byte ptr ds:[esi>
0040015E    B6 80         mov dh, 80
00400160    FF13            call dword ptr ds:
00400162 ^ 73 F9         jnb short fsg.0040015D
00400164    33C9            xor ecx, ecx
00400166    FF13            call dword ptr ds:
00400168    73 16         jnb short fsg.00400180
0040016A    33C0            xor eax, eax
0040016C    FF13            call dword ptr ds:
0040016E    73 1F         jnb short fsg.0040018F
00400170    B6 80         mov dh, 80

堆栈友好提示.

00413398   004001E8 fsg.004001E8
0041339C   004001DC fsg.004001DC
004133A0   004001DE fsg.004001DE
004133A4   00401000 fsg.00401000    //所有Fsg 2.0加壳程序,全部都是这样的类型,401000就是OEP
004133A8 > 77E668FB KERNEL32.LoadLibraryA
004133AC > 77E661CD KERNEL32.GetProcAddress

直接Ctrl+G 去 401000下硬件执行断点,F9运行.

00401000      2B            db 2B                                    ; CHAR '+'
00401001      DB            db DB
00401002      B8            db B8
00401003      4C            db 4C                                    ; CHAR 'L'
00401004      A0            db A0
00401005      40            db 40                                    ; CHAR '@'
00401006      00            db 00
00401007      C7            db C7
00401008      00            db 00
00401009      08            db 08
0040100A      00            db 00
0040100B      00            db 00
0040100C      00            db 00

喜欢做娃娃 发表于 2011-7-10 22:37

谢谢您~我先去看看

喜欢做娃娃 发表于 2011-7-10 22:41

回复 kelvar 的帖子

还是不行哦~~关键是OEP都没有找到跳到retn他就跳到了入口了

Cracker_lang 发表于 2011-7-22 11:32

把东西发上来

喜欢做娃娃 发表于 2011-7-22 23:16

回复 Cracker_lang 的帖子

嘻嘻~~谢谢你哦~~不过还是搞定了~

Cracker_lang 发表于 2011-7-23 11:57

不用客气 同为兴趣爱好者 交流交流

liaoyl 发表于 2011-7-23 23:24

回复 kelvar 的帖子

这篇脱文和视频我看过，我用他的方法Dump后，不是像视频教程中的一样可以不用ImportREC修复，就可以运行。我的情况不行，用ImportREC修复了也不能运行。见图

请教大师！谢谢！

查看完整版本: FSG2.0的壳大牛们麻烦进来帮下我哦