基礎脫殼教程4:手脫fsg殼
fsg 2.0 -> bart/xt
重點為修復
手動、查詢iat
一、單步跟蹤法
單步跟蹤就是和之前一樣的套路,直接單步向下,遇到向上跳轉直接用f4跳過就可以了,主要是在單步的時候注意一些跳轉,可能跳轉到的地方就是程式的oep
也有可能跳轉到oep的指令會被略過,所以要仔細觀察,比如這次的殼
這裡我們還是進行單步跟蹤,當我們遇到一些比較特殊的跳轉時,就要注意了,比如一些比較大幅度的jmp,或者是jmp+暫存器的值,這種也有可能是跳轉到oep,因為可能會講偏移存放到暫存器裡
這裡就是oep,然後我們進行脫殼
開啟lordpe,選中我們除錯的程式
先右鍵選中修正映象大小,然後完整轉存
轉存完之後開啟imprec,選中我們除錯的程式,將oep的位址減去基址,填到oep裡
然後點選自動查詢iat和獲取輸入表
點選無效函式,正常是沒有,如果有右鍵把無效函式剪下掉就可以了,,然後點選轉儲到檔案,存到我們用lordpe dump的檔案裡,就完成了之前的aspack殼和ups殼都是到這裡就結束了,但是fsg殼需要其他步驟
接下來我們進行剩餘步驟
我們在oep之後的程式裡隨便找到乙個函式
比如這裡這個函式的位址是0x425210,我們在命令列視窗輸入d 425210
在左下方的視窗裡,出現一堆函式,我們翻到最上面和最下面,記錄下兩個位址
最上面
最下面
然後再imprec裡找到
將開始的位址減去基址填到rva裡,整個的長度填到size裡
然後點選獲取輸入表,注意,這裡size可以直接填1000,只不過要點一下無效函式,把空指標剪下到就可以了,比較方便
然後我們再點選轉儲就可以了
二、esp定址法
普通的esp定址法,和之前一樣,找到一條只改變esp的指令就可以使用,這裡介紹一種比較特殊的方法,只適合fsg殼,就是找到一條改變所有暫存器的指令
比如這裡,我們繼續右鍵esp點選資料視窗跟隨,
不過這裡我們要看堆疊
我們右鍵最後乙個壓棧的位址,選擇反彙編視窗中跟隨
右鍵第一句選擇硬體執行,然後按shift+f9,就可以直接跳轉到oep
ximo脫殼1 手脫UPX殼
ximo脫殼之基礎教程第一課 手脫upx殼 upx殼為一種簡單的壓縮殼 除錯工具為peid和od 手脫upx有四種方式找到oep 第一種 單步跟蹤 第二種 esp定址 第三種 2次記憶體映象法 第四種 一次直達法 首先,開啟od,將示例程式 開啟該檔案之後,我們進行單步跟蹤 圖中標出的即為單步跟蹤的...
手脫UPX殼方法介紹
方法1 單步跟蹤 f8單步跟蹤,向上不能讓他跳,有loopd迴圈也一樣 跳轉的下一行按f4 執行到選定位置,迴圈loopd在call下一句f4執行 只允許向下跳,如單步跟蹤call處程式執行,則需要過載程式,再call處f7跟進 近call f7,遠call f8 pushad 入棧 popad 出...
手脫64位UPX殼
背景 近期舍友不知道為啥忽然要漢化乙個gta的外掛程式,第一次聽說他要漢化,問了我一堆關於逆向的東西。由於外掛程式加了upx的殼 也是peid說的,我感覺是乙個很奇怪的殼 他搞不定於是發來給我。我平時也是逆向linux的elf檔案多一些,windows的而且還是64位的幾乎沒搞過,平時也沒脫過什麼殼...