这里我们讨论下FSG壳的脱壳。众所周知,FSG壳是一个强大的压缩壳,对于压缩壳,我们可以用堆栈平衡法进行快速脱壳。当我们将加了FSG壳的程序载入OD的以后,可以关注右边的ESP寄存器,在突变之后,按照ESP定律法按部就班的操作,就可以找到OEP。
FSG壳1.3版本:
在我们进入之后,根据堆栈平衡法,往下找会发现一个je,但是没那么容易直接跳,所以我们需要下一个条件断点,然后才能跳到正确的OEP
FSG壳2.0版本:
:堆栈平衡法 然后往下走,会看到一个jmp ,但是当时不会运行到,我们可以直接点击
JMP然后F4运行,就到了OEP
综上所述,我们对付FSG壳,虽然没有特别的好方法,但是根据经验,可以得知它的两个版本的关键点,然后利用条件断点来运行到关键点。那么,我们可以知道,这个壳好像一直是不会直接跳到OEP,它总会经过很多次的循环才会来到跳转关键点。
接下来我们讨论下附加数据Overlay:我们查壳的时候可能会在查壳工具看到Overlay,这就是有附加数据的壳。你可以理解为它是黏上去的。当我们脱完壳之后发现程序无法运行,就是我们缺少这一段附加数据,那么,想要让程序正确的运行起来,就必须得把这一段的数据给它加上去。我们用PE工具查看区段,通过将最后一个区段的偏移和大小相加,得到一个数值,然后我们打开HEX工具,直接跳转到我们计算出来的这个值,将未脱壳的程序的这一段值全部复制,再粘贴到我们脱完壳的程序,我们的程序就可以正常运行了。
596
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
