[求助]关于FSG2.0加密壳的脱法-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] [求助]关于FSG2.0加密壳的脱法 0.00雪花

发表于: 2008-11-15 21:53 2874

[旧帖] [求助]关于FSG2.0加密壳的脱法 0.00雪花

xlianghua

2008-11-15 21:53

2874

这个软件是一个FSG2.0的加密壳,我用ESP来到以下的地址
005BE47B 68 C6055C00    push 005C05C6                来到了这里
005BE480 E8 332E0000    call 005C12B8                      ; 要F7
005BE485 E8 08010000    call 005BE592
005BE48A 8D6424 04    lea    esp, dword ptr [esp+4]

F7再加一个跳转,就来到了这里
005C2214 51             push ecx             ; ntdll.7C937DE9    停在了这里
005C2215 60             pushad
005C2216 60             pushad
005C2217 896C24 3C    mov    dword ptr [esp+3C], ebp
005C221B 57             push edi
005C221C 68 D2B929FA    push FA29B9D2
005C2221 895C24 40    mov    dword ptr [esp+40], ebx
005C2225 891C24       mov    dword ptr [esp], ebx
005C2228 9C             pushfd
005C2229 8F4424 3C    pop    dword ptr [esp+3C]
005C222D E8 08000000    call 005C223A                      ; 这里不能F8
005C2232 83C5 08       add    ebp, 8
005C2235 E8 7FF3FFFF    call 005C15B9
005C223A 897C24 3C    mov    dword ptr [esp+3C], edi       ; F7来到这里
005C223E 9C             pushfd
005C223F 881C24       mov    byte ptr [esp], bl
005C2242 FF7424 0C    push dword ptr [esp+C]
005C2246 8D6424 44    lea    esp, dword ptr [esp+44]
005C224A  ^ E9 95F9FFFF    jmp    005C1BE4                            这里往上跳,下面F4
005C224F FF7424 34    push dword ptr [esp+34]
005C2253 8F45 00       pop    dword ptr [ebp]
005C2256 FF3424       push dword ptr [esp]
005C2259 FF7424 10    push dword ptr [esp+10]
005C225D 8D6424 40    lea    esp, dword ptr [esp+40]
005C2261  ^\E9 FDFEFFFF    jmp    005C2163                            这里还是要往上跳,下面F4
005C2266 9C             pushfd
005C2267 8F4424 30    pop    dword ptr [esp+30]
005C226B E8 DFFFFFFF    call 005C224F                      ; 这里要注意了,我这里一按F8就调试异常,不能再动了,,,,,,但是一按F7.就跳回到了005C224F这里了,谁可以讲解一下接下来如何做
005C2270 E8 C4F6FFFF    call 005C1939
005C2275 8B45 00       mov    eax, dword ptr [ebp]
005C2278 9C             pushfd
005C2279 9C             pushfd
005C227A 0145 04       add    dword ptr [ebp+4], eax
005C227D C60424 3D    mov    byte ptr [esp], 3D
005C2281 9C             pushfd
005C2282 8F4424 04    pop    dword ptr [esp+4]
005C2286 E8 E3EDFFFF    call 005C106E
005C228B C0E9 03       shr    cl, 3
005C228E D0F8          sar    al, 1
005C2290 0F9FC0       setg al
005C2293 24 64          and    al, 64
005C2295 8A45 00       mov    al, byte ptr [ebp]
005C2298 C0F9 02       sar    cl, 2
005C229B 60             pushad
005C229C 8A4D 02       mov    cl, byte ptr [ebp+2]
005C229F 80FA FB       cmp    dl, 0FB
005C22A2 50             push eax
005C22A3 83ED 02       sub    ebp, 2
005C22A6 9C             pushfd
005C22A7 D2E8          shr    al, cl
005C22A9 887C24 08    mov    byte ptr [esp+8], bh
005C22AD 66:8945 04    mov    word ptr [ebp+4], ax
005C22B1 E8 DCF7FFFF    call 005C1A92
005C22B6 E8 33F3FFFF    call 005C15EE
005C22BB 98             cwde
005C22BC 98             cwde
005C22BD 2F             das
005C22BE F5             cmc
005C22BF 8B45 00       mov    eax, dword ptr [ebp]
005C22C2 F6D2          not    dl
005C22C4 8A55 04       mov    dl, byte ptr [ebp+4]
005C22C7 66:85EE       test si, bp
005C22CA  ^ E9 FBF5FFFF    jmp    005C18CA

由于我上传不了附件,我就放在了我的网盘里了http://xlianghua002.ys168.com/?jdfwkey=zrref2

[课程]FART 脱壳王！加量不加价！FART作者讲授！

收藏・0

免费・0

支持

最新回复 (2)
xlianghua 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 18 粉丝 0 关注私信	xlianghua 2 楼晕,没人理呀....... 2008-11-15 22:19 0
xlianghua 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 18 粉丝 0 关注私信	xlianghua 3 楼现在才知道,软件已经被PEELER大大脱壳了.如果大大可以发个贴讲解下如何脱的,.那就更完美了 2008-11-15 22:56 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

xlianghua

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (2)
xlianghua 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 18 粉丝 0 关注私信	xlianghua 2 楼晕,没人理呀....... 2008-11-15 22:19 0
xlianghua 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 18 粉丝 0 关注私信	xlianghua 3 楼现在才知道,软件已经被PEELER大大脱壳了.如果大大可以发个贴讲解下如何脱的,.那就更完美了 2008-11-15 22:56 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复