手動脫FSG殼實戰--吾愛破解培訓第一課作業3

標籤：fsg殼   fsg脫殼   手動脫fsg殼   fsg   脫殼   

Fly2015

對於FSG殼，之前沒有接觸過是第一次接觸，這次拿來脫殼的程式仍然是吾愛破解論壇破解培訓的作業3的程式。對於這個殼折騰了一會兒，後來還是被搞定了。

 

1.查殼

首先對該程式（吾愛破解培訓第一課作業三.exe）進行查殼：

很遺憾，這次DIE也不行了，不過沒事。

2.脫殼

OD載入該加殼的程式進行分析，下面是進入點的彙編代碼：

起初對於該種加殼程式也是比較陌生，但是由於OD使用的還算熟悉，以及結合該加殼程式擷取函數的API調用地址的特點，很快發現了該程式的關鍵點彙編：

於是在地址004001D1處F2下斷點，然後F9運行到該地址004001D1處，地址0041DDAC就是被加殼程式真實的OEP的地址。

F7單步跟進到地址0041DDAC處，遺憾的是沒有看到我們熟悉的進入點的彙編代碼，但是不要急，OD沒有將彙編代碼正確的顯示出來，需要我們自己手動的進行資料的反組譯碼解析：

選中地址0041DDAC處沒有正確顯示的資料，然後 右鍵 ，選擇 分析-->分析代碼 即可正確顯示了。

手動選擇分析代碼以後，地址0041DDAC處的資料的顯示，是不是很有親切感啊，令人熟悉的進入點彙編代碼出現了，但是不要急，這才是第一步。

很自然的下一步就是使用OD的外掛程式OllyDump進行程式的脫殼操作，但是這裡對於這種殼這樣直白的脫殼方式並不管用，需要使用Load PE結合RECImport工具進行完美脫殼。因為被FSG加殼的程式的IAT表不是連續的，脫殼工具不能智能的識別那些記憶體資料是函數的地址，因此需要我們自己手動的識別那些是函數的地址那些不是函數的地址，然後使用工具脫殼。

需要脫殼程式暫停在地址0041DDAC處，使用Load PE工具將其此時的記憶體PE鏡像手動Dump出來（完全脫殼方式），。

注意，此時Dump出來的程式還不能運行，需要為該Dump程式正確的修複IAT表，它才能運行起來。

通過上面的調試，瞭解到程式的真實OEP的RVA地址為001DDAC，使用RECImport工具進行該Dump程式的IAT表的修複。

1.常規的修複IAT表的方式：

在RECImport工具的OEP處手動填寫001DDAC，然後點擊 IAT 自動搜尋-->擷取匯入表-->修正轉儲。

IAT表修複後的脫殼程式的運行，。

很顯然，剛才的IAT表的修複沒有修複成功，如果IAT表修複成功的話，運行脫殼後的程式就不會出現下面這個不友好的介面提示。

2.手動修複IAT表的方式：

遺憾啦，RECImport工具沒用使用好，通過OD查看記憶體資料發現，RECImport工具對Dump後的程式的IAT的修複不完全。

在RECImport工具中，IAT自動搜尋到的程式的匯入表的函數不完全。，函數匯入表的起始RVA地址是000320BC，函數匯入表的結束RVA地址是000320BC+200=000322BC也就匯入表函數的個數是0x200，但是經過OD的觀察發現，這兩個參數有誤。

回到OD偵錯工具中，在HEX資料區，Ctrl+G定位到地址00410000地址處，然後，設定資料的顯示方式：長整型-->地址 顯示方式。

OD資料視窗-地址顯示方式視圖：

經過手動拖動尋找的方式，發現該被加殼程式的匯入表的入口RVA地址應該是00032000 不是地址000320BC處，並且匯入表的結束RVA地址是00032554，因此匯入表函數的大小應該是32554 - 32000 = 554 個（十六進位）。

 

匯入表的起始RVA地址：00032000.

匯入表的結束RVA地址：00032554 ，因此匯入表函數的大小應該是32554 - 32000 = 554 。

經過上面的分析和觀察以後，如填寫RECImport工具中需要的參數，然後直接點擊 擷取匯入表 千萬不要點 IAT自動擷取 否則前功盡棄。

點擊 顯示無效的  函數發現，在擷取到的匯入表中的函數存在無效的函數地址，確實通過OD也發現了函數的地址不是連續的，有些函數之間是0x7FFFFFFF不是有效函數地址。

由於0x7FFFFFFF不是有效函數地址，因此需要去掉這些無效的函數地址。右鍵選擇中這些無效的函數地址，然後選擇 剪下指標 即可刪除這些無效的函數地址。

Ok，現在就可以使用這些剩下的有效IAT表的匯出函數地址進行Dump程式的修正轉儲了，。

運行經過有效IAT修複的程式的視圖。

FSG脫殼分析文檔的和脫殼後的程式的：http://download.csdn.net/detail/qq1084283172/8883891

著作權聲明：本文為博主原創文章，未經博主允許不得轉載。

手動脫FSG殼實戰--吾愛破解培訓第一課作業3