簡單脫殼教程筆記(6)---手脫FSG殼
http://download.csdn.net/detail/obuyiseng/9466056
簡介:
FSG殼是一款壓縮殼。
工具:ExeinfoPE或PEid、OD、LordPE、ImportREConstructor
脫殼檔案:04.手脫FSG殼.rar
尋找OEP
我們使用單步跟蹤法,找到如下位置,我們發現一個比較特殊的現象,有三個跳轉,其中無條件跳轉暫存器中的距離,是一個比較大的跳轉。
那麼就可以猜測,無條件跳到的位置是OEP的位置。
我們執行到該無條件跳轉處,然後單步就會進入到OEP中。
OEP
脫殼
我們使用之前的方法,會發現程式執行不了的。此時,我們需要手動修復IAT,。
原來的
我們OD中隨便找一個呼叫系統的API的Call ,然後在命令列處 輸入 “d xxxx”,回車。
然後將資料視窗向上拖,知道起始位置,並計算出RVA=VA(00425510) - 減去載入基址(00400000 )
讓後向下拖,到含有都是0的位置,並計算出大小
接著進行獲取匯入表,顯示無效的,去除無效的,然後修正轉存即可。
去除無效的圖