|
手脱FSG2.0教程 前言: 一、 脱壳真的是个蛮长而又艰辛的过程,我也是个小白,FSG2.0在压缩壳中算是比较困难的了,并不是说要球技术含量有多高,而是操作比较繁琐,即便是在我已经脱过一遍壳的情况下,再来做这份教程也花了将近三个小时时间才搞好。然而我自己第一次脱这个壳的时候用了将近1天的时间,一天哪,起初实在脱不掉的时候想着搜索一下看是否有比较好的教程,但是遗憾的是没有搜到比较多的有用信息(视频除外),所以只能苦逼的自己慢慢搞一天时间才脱掉!
二、希望大家最好可以自己手动试着脱一下,俗话说的好,好记星不如烂笔头,你记性再好又有何用?
三、另外,我终于知道为什么论坛上几乎没有图文教程了,因为真的是太累了太累了太累了,你们说不多给点热心值能行吗?能行吗?能行吗?重要的事情要说三遍!!! 注:本文中使用的脱壳例子为52 破解的一个实战例子,感谢论坛的各位大神给例子我们实际操作。下面进入正题:
声明:本教程仅供学习交流,如有转载需注明作者信息
1. 查壳 刚开始什么也没查到,这是点了核心扫描后的结果
file:///C:\Users\XUZHON~1\AppData\Local\Temp\msohtmlclip1\01\clip_image001.png 2. 载入OD,开始脱壳 第一行就是入口了,F8运行到第二行使用ESP定律,然后8次F9(有注释)
file:///C:\Users\XUZHON~1\AppData\Local\Temp\msohtmlclip1\01\clip_image003.png 3. 运行完8次F9之后界面停留在这个位置
记得清除硬件断点,然后就是开始F8往下跑
file:///C:\Users\XUZHON~1\AppData\Local\Temp\msohtmlclip1\01\clip_image005.png 4. 向上跳转的下一行F4 ,然后F8 ,这个不多说
file:///C:\Users\XUZHON~1\AppData\Local\Temp\msohtmlclip1\01\clip_image007.png 5. 遇到第一个call ,F7 跟进去,基本上希望大家掌握一个小窍门,call 后面的数字和地址比较接近的我们就F7 跟进去,差的远的我们就F8
file:///C:\Users\XUZHON~1\AppData\Local\Temp\msohtmlclip1\01\clip_image009.png 6. 这里不多说
file:///C:\Users\XUZHON~1\AppData\Local\Temp\msohtmlclip1\01\clip_image011.png 7. 运行到这里了,注意看注释别跑飞了,别问我为什么要这样,因为我不是大神,这是我跑飞了无数次之后得出的结果
file:///C:\Users\XUZHON~1\AppData\Local\Temp\msohtmlclip1\01\clip_image013.png 8. 运行到紫色位置然后按照注视的地方操作,别问我为什么要这样,因为我不是大神,这是我跑飞了无数次之后得出的结果
file:///C:\Users\XUZHON~1\AppData\Local\Temp\msohtmlclip1\01\clip_image015.png 9. 运行到指定位置然后按照注释操作,仔细看清楚,这个紫色位置和上面紫色位置地址不一样的,没糊弄你们哦
file:///C:\Users\XUZHON~1\AppData\Local\Temp\msohtmlclip1\01\clip_image017.png 10. 这个位置前面说过,F7 跟进,然后继续F8
file:///C:\Users\XUZHON~1\AppData\Local\Temp\msohtmlclip1\01\clip_image019.png 11. 还用多说吗?F7 ,然后继续F8
file:///C:\Users\XUZHON~1\AppData\Local\Temp\msohtmlclip1\01\clip_image021.png 12. 运行到这个位置的时候按照注释走,这里可能比较熟悉,但是看地址,发现这又是不同的地方
file:///C:\Users\XUZHON~1\AppData\Local\Temp\msohtmlclip1\01\clip_image023.png 13. 老规矩了,F7
file:///C:\Users\XUZHON~1\AppData\Local\Temp\msohtmlclip1\01\clip_image025.png 14. 不想说了,看注释
file:///C:\Users\XUZHON~1\AppData\Local\Temp\msohtmlclip1\01\clip_image027.png 15. 基本也是老样子了,看注释
file:///C:\Users\XUZHON~1\AppData\Local\Temp\msohtmlclip1\01\clip_image029.png 16. 不想说了,看注释
file:///C:\Users\XUZHON~1\AppData\Local\Temp\msohtmlclip1\01\clip_image031.png 17. 不想说了,看注释
file:///C:\Users\XUZHON~1\AppData\Local\Temp\msohtmlclip1\01\clip_image033.png 18. 不想说了,看注释
file:///C:\Users\XUZHON~1\AppData\Local\Temp\msohtmlclip1\01\clip_image035.png 19. 不想说了,看注释
file:///C:\Users\XUZHON~1\AppData\Local\Temp\msohtmlclip1\01\clip_image037.png 20. 不想说了,看注释
file:///C:\Users\XUZHON~1\AppData\Local\Temp\msohtmlclip1\01\clip_image039.png 21. 不想说了,看注释
file:///C:\Users\XUZHON~1\AppData\Local\Temp\msohtmlclip1\01\clip_image041.png 22. 不想说了,看注释
file:///C:\Users\XUZHON~1\AppData\Local\Temp\msohtmlclip1\01\clip_image039.png 23. 一个向上跳转,记得是F2,F9,F2, 然后继续F8 ,这都是我跑飞无数次之后的结果
file:///C:\Users\XUZHON~1\AppData\Local\Temp\msohtmlclip1\01\clip_image043.png 24. 不想说了,看注释
file:///C:\Users\XUZHON~1\AppData\Local\Temp\msohtmlclip1\01\clip_image045.png 25. 一样的,F2,F9,F9, 然后F8 ,不要犯懒
file:///C:\Users\XUZHON~1\AppData\Local\Temp\msohtmlclip1\01\clip_image043.png 26. 不想说了,看注释
file:///C:\Users\XUZHON~1\AppData\Local\Temp\msohtmlclip1\01\clip_image047.png 27. 这里可以F4 哈,我也不知道为什么,反正就是可以
file:///C:\Users\XUZHON~1\AppData\Local\Temp\msohtmlclip1\01\clip_image049.png 28. 这里看清楚注释,是直接F8 ,别乱跑,小心回不了家了
file:///C:\Users\XUZHON~1\AppData\Local\Temp\msohtmlclip1\01\clip_image051.png 29. 这里也可以F4 的哈
file:///C:\Users\XUZHON~1\AppData\Local\Temp\msohtmlclip1\01\clip_image049.png 30. 不想说了,看注释
file:///C:\Users\XUZHON~1\AppData\Local\Temp\msohtmlclip1\01\clip_image053.png 31. 不想说了,看注释
file:///C:\Users\XUZHON~1\AppData\Local\Temp\msohtmlclip1\01\clip_image055.png 32. 这次贴的比较多,主要看注释运行,有注释的地方按照注释走,没注释就F8 ,别手残
file:///C:\Users\XUZHON~1\AppData\Local\Temp\msohtmlclip1\01\clip_image057.png 33.F8 ,别乱按,小心剁手指
file:///C:\Users\XUZHON~1\AppData\Local\Temp\msohtmlclip1\01\clip_image059.png 34. 看着注释走
file:///C:\Users\XUZHON~1\AppData\Local\Temp\msohtmlclip1\01\clip_image061.png 35.记得F8不是F7 记得F8不是F7 记得F8 不是F7 重要的事情说三遍
file:///C:\Users\XUZHON~1\AppData\Local\Temp\msohtmlclip1\01\clip_image063.png 36. 妈的,终于到了,我快疯了,这里有的朋友就会问了,怎么什么都没有呢?哈哈,你可以点一下右键--- 分析--- 从模块中删除分析就显示出你熟悉的花花绿绿的代码了。
file:///C:\Users\XUZHON~1\AppData\Local\Temp\msohtmlclip1\01\clip_image065.png 37.OEP都找到了那我就不介绍怎么脱壳了,手指头快废了,好累好累,不多给点热心对得起我吗?这个壳脱完了之后要手动查找ITA,这个比较容易我真的真的真的真的真的就不说了。
| 
[复制链接]
发表于 2015-10-10 21:23
发表于 2015-10-10 22:53
|
发表于 2015-10-11 01:41
PEID上扫描下来显示的是SFG2.0的呀
