Fsg1.33脱壳遇到麻烦,请指教!!!-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

Fsg1.33脱壳遇到麻烦,请指教!!!

2004-7-3 17:42 5165

Fsg1.33脱壳遇到麻烦,请指教!!!

冷静

2004-7-3 17:42

5165

菜鸟我,初学脱壳,遇到了麻烦,还请大家帮个忙,谢谢先,部分代码如下:
00430764 >  BE A4014000    MOV ESI,1551-cra.004001A4  ; Fsg1.33的入口
00430769 AD             LODS DWORD PTR DS:[ESI]
0043076A 93             XCHG EAX,EBX
0043076B AD             LODS DWORD PTR DS:[ESI]
0043076C 97             XCHG EAX,EDI
0043076D AD             LODS DWORD PTR DS:[ESI]
0043076E 56             PUSH ESI
0043076F 96             XCHG EAX,ESI
00430770 B2 80          MOV DL,80
00430772 A4             MOVS BYTE PTR ES:[EDI],BYTE PTR DS:[>
00430773 B6 80          MOV DH,80
00430775 FF13          CALL DWORD PTR DS:[EBX]
00430777  ^ 73 F9          JNB SHORT 1551-cra.00430772 ; 这里往回跳
00430779 33C9          XOR ECX,ECX                ; F4后,F8继续
0043077B FF13          CALL DWORD PTR DS:[EBX]
0043077D 73 16          JNB SHORT 1551-cra.00430795
0043077F 33C0          XOR EAX,EAX
00430781 FF13          CALL DWORD PTR DS:[EBX]
00430783 73 1F          JNB SHORT 1551-cra.004307A4    ; 回车
00430785 B6 80          MOV DH,80
00430787 41             INC ECX
00430788 B0 10          MOV AL,10
0043078A FF13          CALL DWORD PTR DS:[EBX]
0043078C 12C0          ADC AL,AL
0043078E  ^ 73 FA          JNB SHORT 1551-cra.0043078A

00430790 /75 3C          JNZ SHORT 1551-cra.004307CE
00430792 |AA             STOS BYTE PTR ES:[EDI]
00430793  ^|EB E0          JMP SHORT 1551-cra.00430775
00430795 |FF53 08       CALL DWORD PTR DS:[EBX+8]
00430798 |02F6          ADD DH,DH
0043079A |83D9 01       SBB ECX,1
0043079D |75 0E          JNZ SHORT 1551-cra.004307AD
0043079F |FF53 04       CALL DWORD PTR DS:[EBX+4]
004307A2 |EB 26          JMP SHORT 1551-cra.004307CA
004307A4 |AC             LODS BYTE PTR DS:[ESI]
004307A5 |D1E8          SHR EAX,1
004307A7 |74 2F          JE SHORT 1551-cra.004307D8
004307A9 |13C9          ADC ECX,ECX
004307AB |EB 1A          JMP SHORT 1551-cra.004307C7    ; 跳
004307AD |91             XCHG EAX,ECX
004307AE |48             DEC EAX
004307AF |C1E0 08       SHL EAX,8
004307B2 |AC             LODS BYTE PTR DS:[ESI]
004307B3 |FF53 04       CALL DWORD PTR DS:[EBX+4]
004307B6 |3D 007D0000    CMP EAX,7D00
004307BB |73 0A          JNB SHORT 1551-cra.004307C7
004307BD |80FC 05       CMP AH,5
004307C0 |73 06          JNB SHORT 1551-cra.004307C8
004307C2 |83F8 7F       CMP EAX,7F

004307C5 /77 02          JA SHORT 1551-cra.004307C9
004307C7 |41             INC ECX
004307C8 |41             INC ECX
004307C9 \95             XCHG EAX,EBP
004307CA 8BC5          MOV EAX,EBP
004307CC B6 00          MOV DH,0
004307CE 56             PUSH ESI
004307CF 8BF7          MOV ESI,EDI
004307D1 2BF0          SUB ESI,EAX
004307D3 F3:A4          REP MOVS BYTE PTR ES:[EDI],BYTE PTR >
004307D5 5E             POP ESI
004307D6  ^ EB 9D          JMP SHORT 1551-cra.00430775 ; 这里要往回跳
004307D8 8BD6          MOV EDX,ESI          ; F4到这里,F8继续
004307DA 5E             POP ESI
004307DB AD             LODS DWORD PTR DS:[ESI]
004307DC 48             DEC EAX
004307DD 74 0A          JE SHORT 1551-cra.004307E9
004307DF 79 02          JNS SHORT 1551-cra.004307E3 ; 跳
004307E1 AD             LODS DWORD PTR DS:[ESI]
004307E2 50             PUSH EAX
004307E3 56             PUSH ESI
004307E4 8BF2          MOV ESI,EDX
004307E6 97             XCHG EAX,EDI
004307E7  ^ EB 87          JMP SHORT 1551-cra.00430770    ; 往回跳
004307E9 AD             LODS DWORD PTR DS:[ESI]  ; F4到这里,F8继续
004307EA 93             XCHG EAX,EBX
004307EB 5E             POP ESI
004307EC 46             INC ESI
004307ED AD             LODS DWORD PTR DS:[ESI]
004307EE 97             XCHG EAX,EDI
004307EF 56             PUSH ESI
004307F0 FF13          CALL DWORD PTR DS:[EBX]
004307F2 95             XCHG EAX,EBP
004307F3 AC             LODS BYTE PTR DS:[ESI]
004307F4 84C0          TEST AL,AL
004307F6  ^ 75 FB          JNZ SHORT 1551-cra.004307F3    ; 小心回跳
004307F8 FE0E          DEC BYTE PTR DS:[ESI] ; F4到这里,F8继续
004307FA  ^ 74 F0          JE SHORT 1551-cra.004307EC
004307FC 79 05          JNS SHORT 1551-cra.00430803    ; 跳
004307FE 46             INC ESI
004307FF AD             LODS DWORD PTR DS:[ESI]
00430800 50             PUSH EAX
00430801 EB 09          JMP SHORT 1551-cra.0043080C
00430803 FE0E          DEC BYTE PTR DS:[ESI]
00430805  - 0F84 5B1EFDFF JE 1551-cra.00402666  ; 我把这里认为是入口,不过不对,
0043080B 56             PUSH ESI
0043080C 55             PUSH EBP
0043080D FF53 04       CALL DWORD PTR DS:[EBX+4]
00430810 AB             STOS DWORD PTR ES:[EDI]
00430811  ^ EB E0          JMP SHORT 1551-cra.004307F3    ; 小心回跳

00430813 33C9          XOR ECX,ECX ; F4到这里就会运行
00430815 41             INC ECX
00430816 FF13          CALL DWORD PTR DS:[EBX]
00430818 13C9          ADC ECX,ECX
0043081A FF13          CALL DWORD PTR DS:[EBX]
0043081C  ^ 72 F8          JB SHORT 1551-cra.00430816
0043081E C3             RETN
0043081F 02D2          ADD DL,DL
00430821 75 05          JNZ SHORT 1551-cra.00430828
00430823 8A16          MOV DL,BYTE PTR DS:[ESI]
00430825 46             INC ESI
00430826 12D2          ADC DL,DL
00430828 C3             RETN

...................................

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法

收藏・1

免费・3

打赏

最新回复 (9)
runjin 雪币： 107 活跃值： (641) 能力值： ( LV9，RANK：180 ) 在线值：发帖 16 回帖 120 粉丝 1 关注私信	runjin 4 2004-7-3 17:48 2 楼 0 能传上文件吗?
xiluoyou 雪币： 241 活跃值： (160) 能力值： ( LV2，RANK：10 ) 在线值：发帖 26 回帖 238 粉丝 1 关注私信	xiluoyou 2004-7-3 19:53 3 楼 0 你可以下个命令 bp 00430805 然后按SHIFT+F9，看看能不能到00430805，如果能到应该就是OEP了！:(
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 2004-7-3 21:13 4 楼 0 不一定
冷静雪币： 108 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 69 粉丝 1 关注私信	冷静 2004-7-3 23:06 5 楼 0 谢谢你们的热心帮助,感动ing!!请问fly斑竹有何高见,俺太菜,烦你说清楚一点,可以吗?
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 2004-7-4 03:07 6 楼 0 修改壳或者多层壳给个链接看看
冷静雪币： 108 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 69 粉丝 1 关注私信	冷静 2004-7-4 05:57 7 楼 0 点击下载:附件！
冷静雪币： 108 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 69 粉丝 1 关注私信	冷静 2004-7-4 05:58 8 楼 0 麻烦您看看,谢谢!!
xiluoyou 雪币： 241 活跃值： (160) 能力值： ( LV2，RANK：10 ) 在线值：发帖 26 回帖 238 粉丝 1 关注私信	xiluoyou 2004-7-4 11:52 9 楼 0 不好意思，应该下命令 bp 430805,ds:[esi]==0 才对，然后按SHIFT+F9就能运行到430885那了，取消断点后按一下F8就可以到OEP了文件为VC编的
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 2004-7-4 14:08 10 楼 0 这个东东是[BCG]的crackme吧？这里不讨论各组织的crackme 提示一下：有个自校验而已
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

冷静

发帖

回帖

RANK

关注

私信

他的文章

[分享]麻省理工学院开放式课件

UltraProtect 1.x -> RISCO Software Inc.脱壳遇到麻烦,请指教!

ASPack 2.1 脱壳后出现问题，请教！！

Fsg1.33脱壳遇到麻烦,请指教!!!

关于我们

联系我们

企业服务

看雪公众号

最新回复 (9)
runjin 雪币： 107 活跃值： (641) 能力值： ( LV9，RANK：180 ) 在线值：发帖 16 回帖 120 粉丝 1 关注私信	runjin 4 2004-7-3 17:48 2 楼 0 能传上文件吗?
xiluoyou 雪币： 241 活跃值： (160) 能力值： ( LV2，RANK：10 ) 在线值：发帖 26 回帖 238 粉丝 1 关注私信	xiluoyou 2004-7-3 19:53 3 楼 0 你可以下个命令 bp 00430805 然后按SHIFT+F9，看看能不能到00430805，如果能到应该就是OEP了！:(
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 2004-7-3 21:13 4 楼 0 不一定
冷静雪币： 108 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 69 粉丝 1 关注私信	冷静 2004-7-3 23:06 5 楼 0 谢谢你们的热心帮助,感动ing!!请问fly斑竹有何高见,俺太菜,烦你说清楚一点,可以吗?
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 2004-7-4 03:07 6 楼 0 修改壳或者多层壳给个链接看看
冷静雪币： 108 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 69 粉丝 1 关注私信	冷静 2004-7-4 05:57 7 楼 0 点击下载:附件！
冷静雪币： 108 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 69 粉丝 1 关注私信	冷静 2004-7-4 05:58 8 楼 0 麻烦您看看,谢谢!!
xiluoyou 雪币： 241 活跃值： (160) 能力值： ( LV2，RANK：10 ) 在线值：发帖 26 回帖 238 粉丝 1 关注私信	xiluoyou 2004-7-4 11:52 9 楼 0 不好意思，应该下命令 bp 430805,ds:[esi]==0 才对，然后按SHIFT+F9就能运行到430885那了，取消断点后按一下F8就可以到OEP了文件为VC编的
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 2004-7-4 14:08 10 楼 0 这个东东是[BCG]的crackme吧？这里不讨论各组织的crackme 提示一下：有个自校验而已
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复