在網上找幾個unpackme來訓練

FSG1.31的殼

先F12讓程序暫停，然后使用SFX法

Ctrl+F2重啟，然后F9！

SFX脫殼大法好~

這里就是OEP了，55 8B EC其實就是

在這里使用Ollydump就好~

脫殼成功了哇~

FSG1.31屬于簡單殼（和UPX一樣），可以使用F8大法脫殼，但是循環的嵌套層數比UPX多也更煩，在用F8+F4繞出循環的時候經常會跳轉回去，所以更要有耐心

比如這個retn，是從803E跳轉到了8011，實際上是往前跳的（所以不能在803E按下F4，要在803F按下F4）

注意到這里標記紅線的兩個地方

8086處的jmp是往下跳轉的

而底下809A的跳轉是往前8085跳轉的，所以這里還是一個很繞的循環

但是！8088和808A告訴了我們：0300是OEP

因為循環解密是有個計數器的，當byte ptr ds:[edi] == 0時，je就會判斷為1~于是就成功跳轉了

F8大法比SFX大法要麻煩一點，因為是人工手動分析，但是可以解決很多SFX解決不了的

第二個殼是FSG1.33的

和1.31的套路一模一樣就不截圖再重復了

第三個殼是FSG2.0的

2.0的不愧是2.0的，可以用SFX法找到OEP

但是用Ollydump來脫殼發現：

那就一定是IAT有問題了~（可惜現在還不會IAT的修復）

那就試試PETools+Import REC的CP吧
PETools：

選中，FULL DUMP

Import REC：

看到了吧~IAT這里都是否~說明都被轉移了，到此FSG2.0我會的已經做完了

接下來：工具大法好

http://www.arpun.com/soft/9386.html

這是在網上找到的一個脫殼機~可以完美解決這個問題

選擇殼特征脫殼~

惡意代碼分析實戰的Lab0103：

FSG1.0的殼，手動脫殼也是失敗了，也是選擇先用工具脫殼

總結

以上是生活随笔為你收集整理的FSG脱壳的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。