填坑专记-手脱FSG壳
妈呀,脱FGS壳真的是坎坷颇多,多亏吾爱破解前辈们的帮忙。我一定要记录下来,省的以后再无法解决。
已经查看是FSG壳了。找到入口也容易了。重点就是脱壳并修复好它。
脱壳
OEP为:
![](https://img2018.cnblogs.com/blog/990054/201901/990054-20190121103552617-1333356286.png)
使用LordPE修整此文件镜像大小,然后完整转存为dumped.exe。
打开Import REC进行基础修复。如下,标红是依次要进行的操作。
![](https://img2018.cnblogs.com/blog/990054/201901/990054-20190121103609646-535841924.png)
最后转储到文件生成dumped_.exe,打开它,出错。
![](https://img2018.cnblogs.com/blog/990054/201901/990054-20190121103747893-2120719710.png)
好,可以确定要使用深度修复了。这是重点,重点,重点。
脱壳之深度修复
在OEP中,必须详细遍历所有条件信息,不能说只是单步向下。
![](https://img2018.cnblogs.com/blog/990054/201901/990054-20190121103759299-757738585.png)
一直按照逻辑走,直到遇见了它。
![](https://img2018.cnblogs.com/blog/990054/201901/990054-20190121103809899-366780449.png)
对,就是这种call特征的,可以使用d命令查找对应地址的信息。【d 43210C】
![](https://img2018.cnblogs.com/blog/990054/201901/990054-20190121103822089-1004138444.png)
接下来,就要上下找它头和尾。
![](https://img2018.cnblogs.com/blog/990054/201901/990054-20190121103833675-1144918613.png)
没有错,如上图,只有前面是00000,才说明找到了头,别被其他东西迷惑。头地址是【00432000】。
![](https://img2018.cnblogs.com/blog/990054/201901/990054-20190121103847540-503976573.png)
当从d命令搜到位置往下,找到最后一个7fffffff时,说明找到尾了。哈哈哈哈,尾地址是【00432550】。
![](https://img2018.cnblogs.com/blog/990054/201901/990054-20190121103859153-1139153804.png)
如上,要输入好信息。最好Size值置为1000,有时候往往找不全,导致生成文件依旧是错误的。反正后面可以清理嘛。
![](https://img2018.cnblogs.com/blog/990054/201901/990054-20190121103913492-1571402081.png)
按照上图步骤,即可愉快地删除无效内容。最后转储即可。
![](https://img2018.cnblogs.com/blog/990054/201901/990054-20190121103924857-293004671.png)
这次实践花了很多时间。关键的事情很少的,要耐心,别错失宝贵的学习机会。
Yestoday is history, tomorrow is a mystery, but today is a gift.That is why it's called "present". --《Kung Fu Panda》