在網(wǎng)上找?guī)讉€(gè)unpackme來(lái)訓(xùn)練

FSG1.31的殼

先F12讓程序暫停，然后使用SFX法

Ctrl+F2重啟，然后F9！

SFX脫殼大法好~

這里就是OEP了，55 8B EC其實(shí)就是

在這里使用Ollydump就好~

脫殼成功了哇~

FSG1.31屬于簡(jiǎn)單殼（和UPX一樣），可以使用F8大法脫殼，但是循環(huán)的嵌套層數(shù)比UPX多也更煩，在用F8+F4繞出循環(huán)的時(shí)候經(jīng)常會(huì)跳轉(zhuǎn)回去，所以更要有耐心

比如這個(gè)retn，是從803E跳轉(zhuǎn)到了8011，實(shí)際上是往前跳的（所以不能在803E按下F4，要在803F按下F4）

注意到這里標(biāo)記紅線的兩個(gè)地方

8086處的jmp是往下跳轉(zhuǎn)的

而底下809A的跳轉(zhuǎn)是往前8085跳轉(zhuǎn)的，所以這里還是一個(gè)很繞的循環(huán)

但是！8088和808A告訴了我們：0300是OEP

因?yàn)檠h(huán)解密是有個(gè)計(jì)數(shù)器的，當(dāng)byte ptr ds:[edi] == 0時(shí)，je就會(huì)判斷為1~于是就成功跳轉(zhuǎn)了

F8大法比SFX大法要麻煩一點(diǎn)，因?yàn)槭侨斯な謩?dòng)分析，但是可以解決很多SFX解決不了的

第二個(gè)殼是FSG1.33的

和1.31的套路一模一樣就不截圖再重復(fù)了

第三個(gè)殼是FSG2.0的

2.0的不愧是2.0的，可以用SFX法找到OEP

但是用Ollydump來(lái)脫殼發(fā)現(xiàn)：

那就一定是IAT有問(wèn)題了~（可惜現(xiàn)在還不會(huì)IAT的修復(fù)）

那就試試PETools+Import REC的CP吧
PETools：

選中，FULL DUMP

Import REC：

看到了吧~IAT這里都是否~說(shuō)明都被轉(zhuǎn)移了，到此FSG2.0我會(huì)的已經(jīng)做完了

接下來(lái)：工具大法好

http://www.arpun.com/soft/9386.html

這是在網(wǎng)上找到的一個(gè)脫殼機(jī)~可以完美解決這個(gè)問(wèn)題

選擇殼特征脫殼~

惡意代碼分析實(shí)戰(zhàn)的Lab0103：

FSG1.0的殼，手動(dòng)脫殼也是失敗了，也是選擇先用工具脫殼

總結(jié)

以上是生活随笔為你收集整理的FSG脱壳的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。