The study of crack(1.Shelling FSG v2.0)
2015-10-27 13:06
295 查看
0x01 使用工具以及运行环境
Exeinfo PEOllyDBG
LordPE
ImportREC
0x02 查壳
可以看到是FSG V2.0的壳0x03 脱壳和修复输入表
首先,载入OD,可以看到FSG这个壳的特征可以观察到这个壳的长度并不长,直接下拉就可以看到一个大跳转,如下图,直接F4运行到这里,这里就是跳转到OEP 0041DDAC
基址
找到OEP之后就可以进行脱壳操作了,首先使用LordPE工具dump文件
之后ImportREC修复文件
这里值得注意的是,这样修复了的文件并不能运行,提示报错或者没反应(win7测试没反应,其他系统知道- -),于是想到是输入表可能有问题,跟进OEP的call
对上面的call查找内存地址,得到在下图,向上滚动,到最上面,也就是IAT RVA = 00432000,填入ImportREC的RVA,大小需要囊括所有的输入表IAT size >= (00432554 - 00432000),也没必要太大以至于覆盖一些不必要的函数
更改之后的,无效指针剪切掉就行了。可以看到FSG2.0这个壳插入了一些无效的指针在里面混淆,使这个工具报错
脱壳之后可以看到变成了Unknown Packer,说明脱壳成功
运行成功!
0x04 总结
这壳和一些壳不一样,比如不是正常的脱壳、修复就能OK的,还需要手动检测哪里是IAT RVA,这个过程还是学习到很多吧。0x05 后记
这个教程还是7月份出的,到现在十月份底才开始,多的不说。感觉写博客好复杂,慢慢来。相关文章推荐
- 51nod 1068 Bash游戏 V3 (找规律)
- Linux初学笔记之<profile、bashrc、bash_profile、environment>
- git bash命令設計不合理的地方
- 教你如何更改xshell中的转发规则
- Java 详解希尔(Shell)排序
- shell截取字符串的方法
- IgniteRDD学习笔记(四)在SparkShell上部署测试IgniteRDD
- login shell的配置初始化
- 在线升级FlashPlayer和GoogleChrome的bash脚本
- 在线升级FlashPlayer和GoogleChrome的bash脚本
- ubuntu开机启动shell脚本
- WEBSHELL姿势之SQL一句话
- adb & adb shell 相关命令
- linux之shell
- 解决bash: mysql: command not found 的方法
- shell条件判断小知识
- windows下使用 Secure Shell Client工具操作linux常用命令
- windows下使用 Secure Shell Client工具操作linux常用命令
- 【linux】系统初始化的shell脚本
- 《Linux Shell》笔记之正则表达式