首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 加壳脱壳
    3. 发新帖
新手请教FSG1.33脱壳问题,谢谢!
发表于: 2006-5-3 10:03 5208

新手请教FSG1.33脱壳问题,谢谢!

任冰雨 活跃值
2006-5-3 10:03
5208
新手请教FSG1.33脱壳问题,谢谢!
远古的VOD系统3.5完美破解版,但是这个是黑熊破解的,用PEID看了下是FSG1.33的壳,但是我用OllyDbg脱壳之后不能运行!
然后试着用1.33版的脱壳机,但是脱壳之后提示不是有效的Win32程序!
在这里小弟想问的是:
1,FSG的壳手动脱该注意些什么呢》?是不是脱之后还要修复?如何修复?
2,自动脱壳之后提示不是有效的Win32程序,这个问题能不能通过修复来改正呢?

小弟是新手,希望各位大哥解答的时候尽量通俗和详细一点,小弟在这里谢谢各位了!!!!!!!

有能帮到小弟的哥哥请加小弟的QQ:1262345/1262346,我想通过这个程序把FSG脱壳搞懂,再次感谢!!!!

[课程]FART 脱壳王!加量不加价!FART作者讲授!

收藏
免费 0
支持
分享
最新回复 (13)
任冰雨
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
没有高手给解答下吗》我在线等ing,.....
2006-5-3 10:33
0
Winter-Night
雪    币: 296
活跃值: (250)
能力值: ( LV9,RANK:210 )
在线值:
发帖
回帖
粉丝
私信
3
学习书生的文章
http://bbs.pediy.com/showthread.php?threadid=24944
2006-5-3 10:42
0
任冰雨
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
谢谢提醒,其实这些文章我都看过了,但是都没有成功,真的不知道该怎么才能搞定!
2006-5-3 10:49
0
任冰雨
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
在老大们的指点下我终于是脱出来了,但是问题又来了!
我脱了之后用EXEScope之类的软件打开还是提示“不能识别的内部结构”!
这是什么原因呢?????
请指点!!
2006-5-3 10:55
0
任冰雨
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
现在脱壳后的程序完全可以运行,但是就是ExeScope不能识别内部结构!是不是还需要修复?还是根本就没脱下来?那文件尺寸怎么突然变的好大呢?

如果需要修复的话该怎么修复呢?谢谢大家帮忙解答!
2006-5-3 11:15
0
Winter-Night
雪    币: 296
活跃值: (250)
能力值: ( LV9,RANK:210 )
在线值:
发帖
回帖
粉丝
私信
7
用freeres或者fixres重建资源
2006-5-3 17:20
0
任冰雨
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
谢谢楼上的哥哥,我再试下!~!
2006-5-3 21:17
0
曾经
雪    币: 205
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
9
peid就可以直接脱拉。
2006-5-12 09:06
0
冷血书生
雪    币: 443
活跃值: (200)
能力值: ( LV9,RANK:1140 )
在线值:
发帖
回帖
粉丝
私信
10
还是不行的话,试一下修复IAT
2006-5-12 13:00
0
LucIfer
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
11
建议你先学习一下脱壳基本知识,还有去练习一下手动脱壳
2006-5-18 08:29
0
wangluosus
雪    币: 203
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
12
我收到新手的HELP信号,趁工作不是特别忙的时候试试解一下,我估计这个应该是个变形的FSG。好,拿到软件载入OD,记住前辈们的提示,FSG的共同特征是:
jmp ...
dec ....
je ....
我们就用手工往下拉,看到了:
00456E64    50              push eax
00456E65    EB 09           jmp short VodSrv.00456E70
00456E67    FE0E            dec byte ptr ds:[esi]
00456E69  - 0F84 9171FEFF   je VodSrv.0043E000  //这个就有可能是OEP了,好就在这里下断(为什么我不直接运行进去直接脱壳,一会就知道原因了)
00456E6F    56              push esi
00456E70    55              push ebp

下面就要注意了,要有点耐心,按F9运行,自己默数按了多少次程序会运行,我运行到107次时程序运行了,OK,重新载入,继续下断,运行106次继续被断在
00456E69,这次不要点F9了,我们F8跟进,进去以后竟然是这样显示,
0043E000      9C            db 9C
0043E001      60            db 60                                    ;  CHAR '`'
0043E002      8B            db 8B
0043E003      44            db 44                                    ;  CHAR 'D'
0043E004      24            db 24                                    ;  CHAR '$'
0043E005      24            db 24                                    ;  CHAR '$'
0043E006      E8            db E8
0043E007      00            db 00

不急我们用CTRL+A分析一下,代码就出来了。
0043E000   .  9C            pushfd
0043E001   .  60            pushad
0043E002   .  8B4424 24     mov eax,dword ptr ss:[esp+24]
0043E006   .  E8 00000000   call VodSrv.0043E00B

如果是普通的FSG这里应该就可以DUMP了,可是你试试看,肯定不行。那我们继续F8跟进
0043E0CC  |.  61            popad
0043E0CD  |.  9D            popfd
0043E0CE  |.  68 02584200   push VodSrv.00425802
0043E0D3  |>  C3            retn   //一直到这里要返回了,继续跟进

来到这里
00425802  /.  55            push ebp        //看看这是什么??嘿嘿,那不就是四处乱躲的OEP??OK,还等什么啊,赶紧DUMP啊!!
00425803  |.  8BEC          mov ebp,esp
00425805  |.  6A FF         push -1
00425807  |.  68 28BA4200   push VodSrv.0042BA28
0042580C  |.  68 8E594200   push VodSrv.0042598E                     ;  jmp 到 MSVCRT._except_handler3; SE 处理程序安装

脱壳完直接就可以运行了,根本就不要修复,看只是绕一个小圈而已嘛~~~^-^


当然我这种做法是比较笨,适合菜鸟学习,高手肯定不会那么做,有什么好意见一定提出来大家分享哦
    风尘
  2006.05.19
2006-5-19 14:36
0
任冰雨
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
13
严重感谢尘哥!!!!!!!!!!!!!!!!!!!!!!!!!!
2006-5-19 15:05
0
wangluosus
雪    币: 203
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
14
呵呵~~ 帮助大家是我的光荣
2006-5-19 15:08
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//