FSG1.0 版本手脱

hjm666 · 发表于 2019-3-4 17:21

本帖最后由 hjm666 于 2019-3-4 17:31 编辑

今天遇到一个FSG 1.0版本的老壳，FSG虽然以前有脱过2.0等版本的壳，如果这个和其它我遇到过的版本的没有什么不一样的话也没有意思拿出来写，也搜了下论坛上没有这个版本的信息也就写写看了

壳的信息：

搜狗截图20190303002637.png

入口地址：

刚入手上了一遍万能的esp定律没有奏效，然后手动过了一遍发现这个壳有点绕也没有找到有用的地方，同时也没有找到2.0版本等的特征3连跳转等，于是有仔细搜索了下FSG壳的帖子等

总结了两点：
1、OEP最终是由一个大跳，跳过去的
2、FSG有多个循环跳转确认是否前往OEP

开始脱壳：
还是由ESP定律上手

[Asm] 纯文本查看 复制代码

01

02

03

04

05

06

07

08

09

10

11

12

13

14

15

16

00405000 >  BB D0014000     mov ebx,Lab01-03.004001D0
00405005    BF 00104000     mov edi,Lab01-03.00401000                ; 入口地址
0040500A    BE 00404000     mov esi,Lab01-03.00404000
0040500F    53              push ebx                                 ; Lab01-03.004001D0
00405010    E8 0A000000     call Lab01-03.0040501F
00405015    02D2            add dl,dl
00405017    75 05           jnz short Lab01-03.0040501E
00405019    8A16            mov dl,byte ptr ds:[esi]
0040501B    46              inc esi                                  ; Lab01-03.00404000
0040501C    12D2            adc dl,dl
0040501E    C3              retn
0040501F    FC              cld
00405020    B2 80           mov dl,0x80
00405022    A4              movs byte ptr es:[edi],byte ptr ds:[esi]
00405023    6A 02           push 0x2
00405025    5B              pop ebx                                  ; kernel32.7C817077