创新路
我们一直在努力

学习—脱壳(手脱FSG壳 重点修复 )

PEid查壳     FSG  壳

image.png

先用单步 进到OEP

image.png

image.png

我们在单步时发现004001CF跳过了jmp 无条件跳转这行  这是作者做防破解的一个保护措施 他一般将OEP地址放在寄存器中不会给我们列出来   比如这里的ebx寄存器中(eax  ecx  edx 都可以存储)

于是我们在这个无条件跳转上设置断点 再单步走一下

image.png

ok进入到了OEP 然后我们用LordPE 进行脱壳  先修正镜像大小

image.png

image.png

再选择完整转存(上周使用LordPE无法完整转存的原因是 要在OD中进到软件的OEP后打开LordPE 才能巡查到软件的路径  才能对软件进行修改 和转存   在添加工具如LordPE时要特别注意  一定要在工具的更目录文件下找到启动程序才行 不然添加的是快捷程序会出现无法正常启用的情况具体就会发现启用了LordPE却在里边找不到正在运行的需要脱壳的软件)

image.png

这时用Import REC打开修复程序

打开了软件程序后选择脱壳软件的路径 再在右边框OEP中输入OD 中查到的软件真实OEP地址A86D

image.png

image.png

image.png

这个时候我们来查一下壳  

image.png

image.png

但是呢我们运行的时候却发现有报错  不能运行

image.png

我们接下来需要修复  要怎么修复呢?  我们首先需要查找IAt

在OD下的OEP中随便找一个CAll

image.png

他是425210 我们用他减去400000这个基值得到25210 再到import REC里找函数里的数据

image.png

我们发现都是Getversion 没有找错

再到OD左下角输D 425210 查找

image.png

然后我们看到了许多指针  我们用鼠标分别往上和下拉 寻找数值0000的位置为边界点 我们去两个边界点的值去相减得到她们的差

image.png

image.png

image.png

点击获取输入表然后点击显示无效的 再右键剪切掉无效果的指针再导出(导出对象一定要是lord PE一开始完整转存出来的软件)

image.png

导出然后就可以运行了!

image.png

image.png

未经允许不得转载:天府数据港官方信息博客 » 学习—脱壳(手脱FSG壳 重点修复 )

客官点个赞呗! (0)
分享到:

评论 抢沙发

评论前必须登录!

天府云博 - 做有态度的开发&运维&设计学习分享平台!

联系我们百度云主机