FSG2.0的壳大牛们麻烦进来帮下我哦

喜欢做娃娃 · 发表于 2011-7-10 22:17

如果发错位置~麻烦版主删下~~再告诉我应该正确往哪点发哦@

PEID查壳结果：FSG 2.0 -> bart/xt

00400154 >  8725 20834E00 xchg dword ptr ds:[4E8320],esp          ; 入口停在这点
0040015A 61             popad
0040015B 94             xchg eax,esp                            ; ESP0012FFC4跟中
0040015C 55             push ebp
0040015D A4             movs byte ptr es:[edi],byte ptr ds:[esi]
0040015E B6 80          mov dh,80
00400160 FF13          call dword ptr ds:[ebx]
00400162  ^ 73 F9          jnb short 5_FSG2_0.0040015D
00400164 33C9          xor ecx,ecx
00400166 FF13          call dword ptr ds:[ebx]
00400168 73 16          jnb short 5_FSG2_0.00400180
0040016A 33C0          xor eax,eax
0040016C FF13          call dword ptr ds:[ebx]
0040016E 73 1F          jnb short 5_FSG2_0.0040018F
00400170 B6 80          mov dh,80

004001E8 02D2          add dl,dl                               ; 跟中到这点继续单步
004001EA 75 05          jnz short 5_FSG2_0.004001F1             ; 跳到retn rent 他就回到
004001EC 8A16          mov dl,byte ptr ds:[esi]
004001EE 46             inc esi
004001EF 12D2          adc dl,dl
004001F1 C3             retn

00400154 >  8725 20834E00 xchg dword ptr ds:[4E8320],esp          ; 入口停在这点
0040015A 61             popad
0040015B 94             xchg eax,esp                            ; ESP0012FFC4跟中
0040015C 55             push ebp
0040015D A4             movs byte ptr es:[edi],byte ptr ds:[esi]
0040015E B6 80          mov dh,80
00400160 FF13          call dword ptr ds:[ebx]
00400162  ^ 73 F9          jnb short 5_FSG2_0.0040015D             ; rent  回来这点回来到入口下来一点咯~
00400164 33C9          xor ecx,ecx
00400166 FF13          call dword ptr ds:[ebx]

大牛们~在线等待哦~~谢谢~

喜欢做娃娃 · 发表于 2011-7-10 22:21

在线等待~。。。

kelvar · 发表于 2011-7-10 22:35

本帖最后由 kelvar 于 2011-7-10 22:39 编辑

http://wenku.baidu.com/view/9f268666f5335a8102d2200c.html
给你篇文章看看。不知道能解决问题不
FSG 2.0的壳貌似用直接看堆栈找OEP的方法最简单。

FSG2.0 主程序.

OD载入运行，无任何异常，判断其为压缩壳。

看了一些FSG脱壳教学,太慢,累.

00400154 > 8725 94334100 xchg dword ptr ds:[413394], esp
0040015A 61             popad    //还是可以对ESP定律入手,不过有些变化.
0040015B 94             xchg eax, esp //F8运行到这里,看堆栈.
0040015C 55             push ebp
0040015D A4             movs byte ptr es:[edi], byte ptr ds:[esi>
0040015E B6 80          mov dh, 80
00400160 FF13          call dword ptr ds:[ebx]
00400162 ^ 73 F9          jnb short fsg.0040015D
00400164 33C9          xor ecx, ecx
00400166 FF13          call dword ptr ds:[ebx]
00400168 73 16          jnb short fsg.00400180
0040016A 33C0          xor eax, eax
0040016C FF13          call dword ptr ds:[ebx]
0040016E 73 1F          jnb short fsg.0040018F
00400170 B6 80          mov dh, 80

堆栈友好提示.

00413398 004001E8 fsg.004001E8
0041339C 004001DC fsg.004001DC
004133A0 004001DE fsg.004001DE
004133A4 00401000 fsg.00401000 //所有Fsg 2.0加壳程序,全部都是这样的类型,401000就是OEP
004133A8 > 77E668FB KERNEL32.LoadLibraryA
004133AC > 77E661CD KERNEL32.GetProcAddress

直接Ctrl+G 去 401000下硬件执行断点,F9运行.

00401000    2B          db 2B                                  ; CHAR '+'
00401001    DB          db DB
00401002    B8          db B8
00401003    4C          db 4C                                  ; CHAR 'L'
00401004    A0          db A0
00401005    40          db 40                                  ; CHAR '@'
00401006    00          db 00
00401007    C7          db C7
00401008    00          db 00
00401009    08          db 08
0040100A    00          db 00
0040100B    00          db 00
0040100C    00          db 00

喜欢做娃娃 · 发表于 2011-7-10 22:37

谢谢您~我先去看看

喜欢做娃娃 · 发表于 2011-7-10 22:41

回复 kelvar 的帖子

还是不行哦~~关键是OEP都没有找到跳到retn他就跳到了入口了

Cracker_lang · 发表于 2011-7-22 11:32

把东西发上来

喜欢做娃娃 · 发表于 2011-7-22 23:16

回复 Cracker_lang 的帖子

嘻嘻~~谢谢你哦~~不过还是搞定了~

Cracker_lang · 发表于 2011-7-23 11:57

不用客气同为兴趣爱好者交流交流

liaoyl · 发表于 2011-7-23 23:24

回复 kelvar 的帖子

这篇脱文和视频我看过，我用他的方法Dump后，不是像视频教程中的一样可以不用ImportREC修复，就可以运行。我的情况不行，用ImportREC修复了也不能运行。见图
截图03.gif

请教大师！谢谢！

帐号		自动登录	找回密码
密码			注册[Register]

[转贴] FSG2.0的壳大牛们麻烦进来帮下我哦