标题:fsg 2。0脱壳后的手工修复

-------------------------------------------------------------------------------------------------------------------------------

时间:2006/9/4 0:28:17

-------------------------------------------------------------------------------------------------------------------------------

内容:

明天要上课了 这可能是我最后一贴  以后要好好学习了


这2天我都没上传脱壳系列文章 因为我也停歇不前了 没有继续学习 所以上传不是自己学到的东西
和灌水没什么区别

前面18篇都是copy 二哥的教程  学了不少东西了 如果有新手真的想学习脱壳 强烈建议看完那18篇
绝对提高一个档次  动画和配套的壳我多放在帖子里了 自己可以去看
言过正传

上次我发了fsg 1。3和2。0的脱壳方法    (ctrl ——b   搜索5556  下一个跳转就到oep   fsg2.0是
载入后象下找  看到有  jmp dword ptr ds:[ebx+C]    f 4一下  下个跳转就是oep)
方法是很简单  不是我要说的重点
我要说的是脱壳后手动修复iat
因为用im修复不能成功
而一般菜鸟都不会手动修复 iat
首先要明白 手动修复和自动修复差别:  手动修复要自己添rva 和size   rva是相对虚拟地址  size是这个地址大小  其他和自动修复一样(先选者进程  再添ope 但不要点那个自动搜索iat哦 而是手动把这2个数据添如 才是手动修复 )

怎么得到rva和size:当你od 运行到ope附近的时候  在这个地址附近 查找一个调用api的函数 指令
(可能有人问了什么叫api?api你可以理解是预先存放在windows定义好的函数 比如得到对话筐里的字符串啊   他的特征是  注释筐里写了一个函数名字 比如  gethandlea)  在调用api的函数的指令里
因该有使用了某个内存单元  用[xxxxxx]形式写的在   说明在这个内存里放这api的接口 就是调用api的地址
我门在  命令行里打  dd   xxxxx        xxxxx是指 上面方框里写的内存地址
就可以看到 命令行上方的内存显示窗口里显示出来很多api接口存放的地址   拉动滑条看看最开始的地址是多少  比如是   01001000   在看看这个地址什么时候结束  比如01001222开始 就没放api 放0了
那么  rva就知道是1000就是启始地址   size呢 因该添大一点 按道理要添2个地址之差 但要添大点
添多大呢 具体还是不很清楚 我选的是5倍
现在rva和size都知道  可以手动修复拉
我把有关视频放到网上学要的可以看下
是关于 fsg2.0的脱壳以及手动修复 iat

沙发抢的好快
地址在这
http://free5.ys168.com/?cotine
在个人动画文件夹了
里面有动画和配套的壳供练习  有2个文件哦 一起下 然后解压叫 fsg2.0脱壳动画

明天要上课了 这可能是我最后一贴  以后要好好学习了


这2天我都没上传脱壳系列文章 因为我也停歇不前了 没有继续学习 所以上传不是自己学到的东西
和灌水没什么区别

前面18篇都是copy 二哥的教程  学了不少东西了 如果有新手真的想学习脱壳 强烈建议看完那18篇
绝对提高一个档次  动画和配套的壳我多放在帖子里了 自己可以去看
言过正传

上次我发了fsg 1。3和2。0的脱壳方法    (ctrl ——b   搜索5556  下一个跳转就到oep   fsg2.0是
载入后象下找  看到有  jmp dword ptr ds:[ebx+C]    f 4一下  下个跳转就是oep)
方法是很简单  不是我要说的重点
我要说的是脱壳后手动修复iat
因为用im修复不能成功
而一般菜鸟都不会手动修复 iat
首先要明白 手动修复和自动修复差别:  手动修复要自己添rva 和size   rva是相对虚拟地址  size是这个地址大小  其他和自动修复一样(先选者进程  再添ope 但不要点那个自动搜索iat哦 而是手动把这2个数据添如 才是手动修复 )

怎么得到rva和size:当你od 运行到ope附近的时候  在这个地址附近 查找一个调用api的函数 指令
(可能有人问了什么叫api?api你可以理解是预先存放在windows定义好的函数 比如得到对话筐里的字符串啊   他的特征是  注释筐里写了一个函数名字 比如  gethandlea)  在调用api的函数的指令里
因该有使用了某个内存单元  用[xxxxxx]形式写的在   说明在这个内存里放这api的接口 就是调用api的地址
我门在  命令行里打  dd   xxxxx        xxxxx是指 上面方框里写的内存地址
就可以看到 命令行上方的内存显示窗口里显示出来很多api接口存放的地址   拉动滑条看看最开始的地址是多少  比如是   01001000   在看看这个地址什么时候结束  比如01001222开始 就没放api 放0了
那么  rva就知道是1000就是启始地址   size呢 因该添大一点 按道理要添2个地址之差 但要添大点
添多大呢 具体还是不很清楚 我选的是5倍
现在rva和size都知道  可以手动修复拉
我把有关视频放到网上学要的可以看下
是关于 fsg2.0的脱壳以及手动修复 iat

沙发抢的好快
地址在这
http://free5.ys168.com/?cotine
在个人动画文件夹了
里面有动画和配套的壳供练习  有2个文件哦 一起下 然后解压叫 fsg2.0脱壳动画