您的位置:首页 > 运维架构 > Shell

The study of crack(1.Shelling FSG v2.0)

2015-10-27 13:06 295 查看

0x01 使用工具以及运行环境

Exeinfo PE

OllyDBG

LordPE

ImportREC

0x02 查壳

可以看到是FSG V2.0的壳

0x03 脱壳和修复输入表

首先,载入OD,可以看到FSG这个壳的特征

可以观察到这个壳的长度并不长,直接下拉就可以看到一个大跳转,如下图,直接F4运行到这里,这里就是跳转到OEP 0041DDAC

基址

找到OEP之后就可以进行脱壳操作了,首先使用LordPE工具dump文件

之后ImportREC修复文件

这里值得注意的是,这样修复了的文件并不能运行,提示报错或者没反应(win7测试没反应,其他系统知道- -),于是想到是输入表可能有问题,跟进OEP的call

对上面的call查找内存地址,得到在下图,向上滚动,到最上面,也就是IAT RVA = 00432000,填入ImportREC的RVA,大小需要囊括所有的输入表IAT size >= (00432554 - 00432000),也没必要太大以至于覆盖一些不必要的函数

更改之后的,无效指针剪切掉就行了。可以看到FSG2.0这个壳插入了一些无效的指针在里面混淆,使这个工具报错

脱壳之后可以看到变成了Unknown Packer,说明脱壳成功

运行成功!

0x04 总结

这壳和一些壳不一样,比如不是正常的脱壳、修复就能OK的,还需要手动检测哪里是IAT RVA,这个过程还是学习到很多吧。

0x05 后记

这个教程还是7月份出的,到现在十月份底才开始,多的不说。感觉写博客好复杂,慢慢来。
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 点击这里给我发消息
标签: