最初由 鸡蛋壳 发布
点击下载:附件！eXeScope6.41.rar

练练手吧。 初学者更要进来试哦。

最初由 fly 发布

倒，你进来脱那多没意思，这个是给初学者练手的机会。这个不仅仅只是找到OEP的问题。

这是脱好的壳，初学者自行对照着脱。方法依然和我刚才讲的一样。

点击下载:附件！dumped_.part1.rar

点击下载:附件！dumped_.part2.rar

脱了后，对于FSG可以说有个终结了，没有什么未知的FSG可以难到你了。

还以为呢，以为又是什么变态的

我以为你又加了什么变形壳  :D

最初由 fly 发布
我以为你又加了什么变形壳 :D

你看OEP就知道了，并不是什么变形，只是在FSG本身脱壳其实比FSG2.0加壳的例子要容易的多而已了。所以有时候脱主程序反而不如去脱加壳程序。

最初由 鸡蛋壳 发布


你看OEP就知道了，并不是什么变形，只是在FSG本身脱壳其实比FSG2.0加壳的例子要容易的多而已了。所以有时候脱主程序反而不如去脱加壳程序。

呵呵，这点我不敢苟同
或许你碰到的只是个例外
加其本身壳的保护壳主程序通常不好搞

最初由 fly 发布



呵呵，这点我不敢苟同
或许你碰到的只是个例外
加其本身壳的保护壳主程序通常不好搞

你要拿保护壳出来说，那我自然没办法了，保护保护，如果自己都保护不了，那还有必要保护别人吗？

问一下兄弟，你以前发的修改壳是什么壳？
我XP上无法运行，所以没看
[email]fly4099@sohu.com[/email]

最初由 fly 发布
问一下兄弟，你以前发的修改壳是什么壳？
我XP上无法运行，所以没看
[email]fly4099@sohu.com[/email]

倒，我自己都不记得了，现在想要，早没了。

我好不容易跟踪到OEP怎么又是这样啊！望高手指教！

004CB880     00             DB 00
004CB881     8B             DB 8B
004CB882     EC             DB EC
004CB883     83             DB 83
004CB884     C4             DB C4
004CB885     E4             DB E4
004CB886     53             DB 53                                    ;  CHAR 'S'
004CB887     56             DB 56                                    ;  CHAR 'V'
004CB888     33             DB 33                                    ;  CHAR '3'
004CB889     C0             DB C0
004CB88A     89             DB 89
004CB88B     45             DB 45                                    ;  CHAR 'E'
004CB88C     E4             DB E4
004CB88D     89             DB 89
004CB88E     45             DB 45                                    ;  CHAR 'E'
004CB88F     EC             DB EC
004CB890     89             DB 89
004CB891     45             DB 45                                    ;  CHAR 'E'
004CB892     E8             DB E8
004CB893     B8             DB B8
004CB894     90             DB 90
004CB895     B5             DB B5
004CB896     4C             DB 4C                                    ;  CHAR 'L'
004CB897     00             DB 00
004CB898     E8             DB E8
004CB899     DF             DB DF
004CB89A     B3             DB B3
004CB89B     F3             DB F3
004CB89C     FF             DB FF
004CB89D     8B             DB 8B
004CB89E     35             DB 35                                    ;  CHAR '5'
004CB89F     30             DB 30                                    ;  CHAR '0'

004CB880
OEP 到了。

最初由 wzdbzd 发布
我好不容易跟踪到OEP怎么又是这样啊！望高手指教！

004CB880 00 DB 00
004CB881 8B DB 8B
004CB882 EC DB EC
004CB883 83 DB 83
004CB884 C4 DB C4
004CB885 E4 DB E4
004CB886 53 DB 53 ; CHAR 'S'
004CB887 56 DB 56 ; CHAR 'V'
004CB888 33 DB 33 ; CHAR '3'
004CB889 C0 DB C0
004CB88A 89 DB 89
004CB88B 45 DB 45 ; CHAR 'E'
004CB88C E4 DB E4
004CB88D 89 DB 89
004CB88E 45 DB 45 ; CHAR 'E'
004CB88F EC DB EC
004CB890 89 DB 89
004CB891 45 DB 45 ; CHAR 'E'
004CB892 E8 DB E8
004CB893 B8 DB B8
004CB894 90 DB 90
004CB895 B5 DB B5
004CB896 4C DB 4C ; CHAR 'L'
004CB897 00 DB 00
004CB898 E8 DB E8
004CB899 DF DB DF
004CB89A B3 DB B3
004CB89B F3 DB F3
004CB89C FF DB FF
004CB89D 8B DB 8B
004CB89E 35 DB 35 ; CHAR '5'
004CB89F 30 DB 30 ; CHAR '0'

使用右键分析一下代码

最初由 fly 发布



呵呵，这点我不敢苟同
或许你碰到的只是个例外
加其本身壳的保护壳主程序通常不好搞

这点也不敢苟同，大概只有蛋壳这么想吧！:D :D :D

我右键分析出了代码，Dump下来和不分析Dump的文件完全一样啊，这是怎么回事啊！谢谢！

用ollydbg载入这个exescope.exe
ctrl+B搜索ff630c,然后在此下断点(F2)
按F9运行,可以断下来.取消断点,再按F7就来到入口了.
此时按ctrl+A即开始分析代码

就变成图片这样了:)

我试试。

和我自己手脱的文件还是一样啊！初始化失败。请问真是为什么啊？

OEP: 000CB880        IATRVA: 000D2284        IATSize: 000006B4

2000SP4脱壳正常.
可能是你没有修正ImportRec所找到的IAT偏移,大小所致.

今日又看了一下，入口点又变成1000了。

我在2003下面修正 IAT 还是不能运行，程序自动关闭，于是跟了一下，出错的地方访问了不存在的内存地址。

应该是输入表的问题

最初由 fly 发布
应该是输入表的问题

嘿嘿，果然是输入表 RVA 填错了一个数字。。。

我94完全按你们说的那样啊，还是不行！请教！