首页
社区
课程
招聘
[旧帖] [求助]关于FSG2.0加密壳的脱法 0.00雪花
发表于: 2008-11-15 21:53 2901

[旧帖] [求助]关于FSG2.0加密壳的脱法 0.00雪花

2008-11-15 21:53
2901
这个软件是一个FSG2.0的加密壳,我用ESP来到以下的地址
005BE47B    68 C6055C00     push    005C05C6                  来到了这里
005BE480    E8 332E0000     call    005C12B8                         ; 要F7
005BE485    E8 08010000     call    005BE592
005BE48A    8D6424 04       lea     esp, dword ptr [esp+4]

F7再加一个跳转,就来到了这里
005C2214    51              push    ecx                ; ntdll.7C937DE9      停在了这里
005C2215    60              pushad
005C2216    60              pushad
005C2217    896C24 3C       mov     dword ptr [esp+3C], ebp
005C221B    57              push    edi
005C221C    68 D2B929FA     push    FA29B9D2
005C2221    895C24 40       mov     dword ptr [esp+40], ebx
005C2225    891C24          mov     dword ptr [esp], ebx
005C2228    9C              pushfd
005C2229    8F4424 3C       pop     dword ptr [esp+3C]
005C222D    E8 08000000     call    005C223A                         ; 这里不能F8
005C2232    83C5 08         add     ebp, 8
005C2235    E8 7FF3FFFF     call    005C15B9
005C223A    897C24 3C       mov     dword ptr [esp+3C], edi          ; F7来到这里
005C223E    9C              pushfd
005C223F    881C24          mov     byte ptr [esp], bl
005C2242    FF7424 0C       push    dword ptr [esp+C]
005C2246    8D6424 44       lea     esp, dword ptr [esp+44]
005C224A  ^ E9 95F9FFFF     jmp     005C1BE4                              这里往上跳,下面F4
005C224F    FF7424 34       push    dword ptr [esp+34]
005C2253    8F45 00         pop     dword ptr [ebp]
005C2256    FF3424          push    dword ptr [esp]
005C2259    FF7424 10       push    dword ptr [esp+10]
005C225D    8D6424 40       lea     esp, dword ptr [esp+40]
005C2261  ^\E9 FDFEFFFF     jmp     005C2163                              这里还是要往上跳,下面F4
005C2266    9C              pushfd
005C2267    8F4424 30       pop     dword ptr [esp+30]
005C226B    E8 DFFFFFFF     call    005C224F                         ; 这里要注意了,我这里一按F8就调试异常,不能再动了,,,,,,但是一按F7.就跳回到了005C224F这里了,谁可以讲解一下接下来如何做
005C2270    E8 C4F6FFFF     call    005C1939
005C2275    8B45 00         mov     eax, dword ptr [ebp]
005C2278    9C              pushfd
005C2279    9C              pushfd
005C227A    0145 04         add     dword ptr [ebp+4], eax
005C227D    C60424 3D       mov     byte ptr [esp], 3D
005C2281    9C              pushfd
005C2282    8F4424 04       pop     dword ptr [esp+4]
005C2286    E8 E3EDFFFF     call    005C106E
005C228B    C0E9 03         shr     cl, 3
005C228E    D0F8            sar     al, 1
005C2290    0F9FC0          setg    al
005C2293    24 64           and     al, 64
005C2295    8A45 00         mov     al, byte ptr [ebp]
005C2298    C0F9 02         sar     cl, 2
005C229B    60              pushad
005C229C    8A4D 02         mov     cl, byte ptr [ebp+2]
005C229F    80FA FB         cmp     dl, 0FB
005C22A2    50              push    eax
005C22A3    83ED 02         sub     ebp, 2
005C22A6    9C              pushfd
005C22A7    D2E8            shr     al, cl
005C22A9    887C24 08       mov     byte ptr [esp+8], bh
005C22AD    66:8945 04      mov     word ptr [ebp+4], ax
005C22B1    E8 DCF7FFFF     call    005C1A92
005C22B6    E8 33F3FFFF     call    005C15EE
005C22BB    98              cwde
005C22BC    98              cwde
005C22BD    2F              das
005C22BE    F5              cmc
005C22BF    8B45 00         mov     eax, dword ptr [ebp]
005C22C2    F6D2            not     dl
005C22C4    8A55 04         mov     dl, byte ptr [ebp+4]
005C22C7    66:85EE         test    si, bp
005C22CA  ^ E9 FBF5FFFF     jmp     005C18CA

由于我上传不了附件,我就放在了我的网盘里了http://xlianghua002.ys168.com/?jdfwkey=zrref2

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (2)
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
晕,没人理呀.......
2008-11-15 22:19
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
现在才知道,软件已经被PEELER大大脱壳了.如果大大可以发个贴讲解下如何脱的,.那就更完美了
2008-11-15 22:56
0
游客
登录 | 注册 方可回帖
返回
//