简单脱壳教程笔记(6)---手脱FSG壳
2016-03-19 09:38
267 查看
本笔记是针对ximo早期发的脱壳基础视频教程,整理的笔记。本笔记用到的工具下载地址:
http://download.csdn.net/detail/obuyiseng/9466056
FSG壳是一款压缩壳。
工具:ExeinfoPE或PEid、OD、LordPE、ImportREConstructor
脱壳文件:04.手脱FSG壳.rar
我们使用单步跟踪法,找到如下位置,我们发现一个比较特殊的现象,有三个跳转,其中无条件跳转寄存器中的距离,是一个比较大的跳转。
那么就可以猜测,无条件跳到的位置是OEP的位置。
我们运行到该无条件跳转处,然后单步就会进入到OEP中。
OEP
我们使用之前的方法,会发现程序运行不了的。此时,我们需要手动修复IAT,。
原来的
我们OD中随便找一个调用系统的API的Call ,然后在命令行处 输入 “d xxxx”,回车。
然后将数据窗口向上拖,知道起始位置,并计算出RVA=VA(00425510) - 减去加载基址(00400000 )
让后向下拖,到含有都是0的位置,并计算出大小
接着进行获取导入表,显示无效的,去除无效的,然后修正转存即可。
去除无效的图
http://download.csdn.net/detail/obuyiseng/9466056
简介:
FSG壳是一款压缩壳。工具:ExeinfoPE或PEid、OD、LordPE、ImportREConstructor
脱壳文件:04.手脱FSG壳.rar
寻找OEP
我们使用单步跟踪法,找到如下位置,我们发现一个比较特殊的现象,有三个跳转,其中无条件跳转寄存器中的距离,是一个比较大的跳转。那么就可以猜测,无条件跳到的位置是OEP的位置。
我们运行到该无条件跳转处,然后单步就会进入到OEP中。
OEP
脱壳
我们使用之前的方法,会发现程序运行不了的。此时,我们需要手动修复IAT,。原来的
我们OD中随便找一个调用系统的API的Call ,然后在命令行处 输入 “d xxxx”,回车。
然后将数据窗口向上拖,知道起始位置,并计算出RVA=VA(00425510) - 减去加载基址(00400000 )
让后向下拖,到含有都是0的位置,并计算出大小
接着进行获取导入表,显示无效的,去除无效的,然后修正转存即可。
去除无效的图
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐