[求助]菜鸟脱fsg的疑问-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[求助]菜鸟脱fsg的疑问

发表于: 2005-4-23 22:52 4519

[求助]菜鸟脱fsg的疑问

Pilihero

2005-4-23 22:52

4519

大家好!!
麻烦各位点出我过程的错误所在,为什么跟教程的结果都不一样了
入门的一步都走不进去..请帮我看看...谢谢!!

原教程:
50fK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3y4U0i4K6u0W2L8Y4c8#2N6q4)9J5k6h3g2V1N6g2)9J5k6i4c8%4i4K6u0r3i4K6N6q4K9r3y4F1i4K6u0r3i4K6g2X3N6r3S2W2L8h3g2K6i4K6u0r3k6$3I4G2j5X3q4D9i4K6u0r3i4K6g2X3N6Y4c8A6i4K6g2X3j5$3&6X3i4K6u0r3k6$3I4G2j5X3q4D9i4K6u0r3k6Y4y4Y4i4K6u0W2k6i4S2W2
问题录像:
057K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3y4U0i4K6u0W2L8Y4c8#2N6q4)9J5k6h3g2V1N6g2)9J5k6i4c8%4i4K6u0r3i4K6N6q4K9r3y4F1i4K6u0r3i4K6g2X3N6r3S2W2L8h3g2K6i4K6u0r3k6$3I4G2j5X3q4D9i4K6u0r3i4K6g2X3N6Y4c8A6i4K6g2X3j5$3&6X3i4K6u0r3k6$3I4G2j5X3q4D9i4K6u0r3f1i4g2W2M7%4c8A6L8$3&6Q4x3X3g2W2P5r3f1`.
待脱壳?:
3a3K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3y4U0i4K6u0W2L8Y4c8#2N6q4)9J5k6h3g2V1N6g2)9J5k6i4c8%4i4K6u0r3i4K6N6q4K9r3y4F1i4K6u0r3i4K6g2X3N6r3S2W2L8h3g2K6i4K6u0r3k6$3I4G2j5X3q4D9i4K6u0r3i4K6g2X3N6Y4c8A6i4K6g2X3j5$3&6X3i4K6u0r3k6$3I4G2j5X3q4D9i4K6u0r3j5%4u0S2j5$3E0E0k6g2)9J5k6h3g2^5k6b7`.`.

找出 oep 前的步骤(取自原作者文章write by luax 2004.5.26):
按住f8，使其单不营运，等会我们会发现一个地址老是往回跳，可以在下面一个地址设断，
然后按f9跳过这无数次的循环。

004307D6  ^ EB 9D          JMP SHORT 1551-cra.00430775  //这里一直往回跳
004307D8 8BD6          MOV EDX,ESI          //在这里设断
.
.
004307E7  ^|EB 87          JMP SHORT 1551-cra.00430770  //这里还有一处
004307E9 AD             LODS DWORD PTR DS:[ESI] //同样在此设断
.
.
004307F6  ^ 75 FB          JNZ SHORT 1551-cra.004307F3 //用同样的方法跳过
004307F8 FE0E          DEC BYTE PTR DS:[ESI]
.
.
00430805  - 0F84 5B1EFDFF JE 1551-cra.00402666  //看到了吧，这就是跨"段"的jmp
.
.
到这里程序还在壳中，我们取消断点，直接在入口点00402666下断点，bp 00402666到达指定地点
启用插件ollydump，dump.保存为dump.exe.营运脱壳后的程序，无发正常执行.调试一下再说吧。
用ollydbg载入dump.exe,按住f8，int3中断???
0040126C  |.  51          PUSH ECX                               ; |Arg1
0040126D  |.  E8 00F00000 CALL dumpd.00410272                   ; \dumpd.00410272
00401272  |.  81BD D8FDFFFF>CMP DWORD PTR SS:[EBP-228],0FB45
0040127C  |.  7E 02       JLE SHORT dumpd.00401280
0040127E  |.  CD 13       INT 13 //改成nop就可以了
00401280  |>  8D4D E4    LEA ECX,DWORD PTR SS:[EBP-1C]
00401283  |.  895E 64    MOV DWORD PTR DS:[ESI+64],EBX

保存，再营运，程序不再报错，用peid查看，是用vc++6编写的，脱壳成功

问题来了:
为何原本的教程当中,再开启dump.exe时..应该是可以用单步执行F8来找出INT13,可是我的状况却是卡在00402666的地方不能动
希望大大们能告知哪个步骤错了,我是超级新手,很多地方不懂,请多包含,书我买了,可是找不到衔接的答案...@@

谢谢各位观看!!

[培训]科锐逆向工程师培训第53期2025年7月8日开班！

收藏・0

免费・0

支持

最新回复 (7)
fly 雪币： 898 活跃值： (4054) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 34 关注私信	fly 85 2 楼先看基础知识会对你继续学习大有好处的 CMP DWORD PTR SS:[EBP-228],0FB45 看样子是个大小检验脱壳后修复输入表了没有 2005-4-23 23:34 0
peaceworld 雪币： 222 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 97 粉丝 0 关注私信	peaceworld 3 楼引用:"按住f8，使其单不营运，等会我们会发现一个地址老是往回跳，可以在下面一个地址设断，然后按f9跳过这无数次的循环。" 在本例中,可以在下面一个地址直接按 F4.如要用设断点方式,请在达到目的后清除断点. 引用:"00430805 - 0F84 5B1EFDFF JE 1551-cra.00402666 //看到了吧，这就是跨"段"的jmp" 可直接在此地址用 F4 或设断点方式,运行到此,在按 ENTER 键,跟随到地址 00402666 处,设断后 F9 运行,停下就可 DUMP 了. 附件为录像档案,请下载参考. 556K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4u0S2M7r3W2V1M7$3S2S2M7X3g2Q4x3X3g2V1k6g2)9J5c8X3k6A6L8r3g2K6i4K6u0r3x3e0b7H3y4e0b7^5x3W2)9J5c8U0p5J5x3#2)9J5k6i4u0S2M7W2)9J5k6h3S2@1L8h3H3`. 2005-4-24 10:02 0
Pilihero 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 3 粉丝 0 关注私信	Pilihero 4 楼 Fly老大说的是….@@ 是该先学懂基础知识，因为刚巧看见网上有个手脱录像，于是才急着感受手脱的过程，多谢您的建议，！ Peaceworld前辈，实在很感谢你您啊，您超热心的，还传了教学录像给我参考，不过我按步骤操作了一次后，又碰壁了哀…麻烦您指正一下，很不好意思。问题录像之二：b26K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3y4U0i4K6u0W2L8Y4c8#2N6q4)9J5k6h3g2V1N6g2)9J5k6i4c8%4i4K6u0r3i4K6N6q4K9r3y4F1i4K6u0r3i4K6g2X3N6r3S2W2L8h3g2K6i4K6u0r3k6$3I4G2j5X3q4D9i4K6u0r3i4K6g2X3N6Y4c8A6i4K6g2X3j5$3&6X3i4K6u0r3k6$3I4G2j5X3q4D9i4K6u0r3M7i4g2W2M7%4c8A6L8$3^5K6i4K6u0W2k6i4S2W2 还有，前辈的Od是繁体的吗？　请问该如何取得呢？因为OS是繁体的，简体的某些选项都是乱码无法会意，想寻找看看是否有繁体的版本，谢谢您！ 2005-4-24 23:52 0
peaceworld 雪币： 222 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 97 粉丝 0 关注私信	peaceworld 5 楼我用模式1(如下图)来 DUMP 就能修复 IAT,你却不行,不过没关系,你可用 ImportRECE 来修复IAT ,相关工具(OllyDBG1.10,Import REConstructor1.6,LordPE )请点击以下连结下载,解压时请观看注解. 930K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4m8W2j5h3y4W2P5h3g2F1L8r3g2G2L8W2)9J5k6h3S2G2L8%4m8K6i4K6u0W2L8X3g2Q4x3X3g2B7M7q4)9J5c8Y4g2F1M7r3q4U0K9$3g2J5i4K6u0W2M7X3q4J5 2005-4-25 06:22 0
Pilihero 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 3 粉丝 0 关注私信	Pilihero 6 楼 P前辈，很感谢您的帮忙，提供了很好的相关知识，如果未来哪天对软件调试有进一步的认识，都要归功给您。经过Import REConstructor修理，我还是无法顺利修复这个档案...不知道哪里出错了..只好再上来请示，谢谢观看。原程序无法找到程序输入点,使用Import REConstructor修理过程: Trace Level1 (Disasm) 经使用后全部的仍然为invalid, 或者发生程序死当的情形 Level 2 ,Level 3 一使用..程序就当掉了 Delete thunk 使用后~不行dump 使用了LordPE当中的重建PE ..也不行　@@ 不知道是否方法有误，如果错了，希望不吝指正。问题录像： 1d7K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3&6@1N6i4c8Q4x3X3g2W2k6s2g2Q4x3X3g2@1N6#2)9J5c8W2)9%4c8h3S2U0L8W2)9J5c8W2)9#2k6Y4c8Z5k6h3#2W2M7#2)9J5c8X3N6D9L8$3u0S2L8q4)9J5c8W2)9#2k6Y4k6@1K9g2)9#2k6X3y4F1k6W2)9J5c8X3N6D9L8$3u0S2L8q4)9J5c8W2q4c8f1e0c8Q4x3X3g2W2P5r3f1`. 问题档案： 043K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3&6@1N6i4c8Q4x3X3g2W2k6s2g2Q4x3X3g2@1N6#2)9J5c8W2)9%4c8h3S2U0L8W2)9J5c8W2)9#2k6Y4c8Z5k6h3#2W2M7#2)9J5c8X3N6D9L8$3u0S2L8q4)9J5c8W2)9#2k6Y4k6@1K9g2)9#2k6X3y4F1k6W2)9J5c8X3N6D9L8$3u0S2L8q4)9J5c8V1g2d9f1V1!0d9i4K6u0W2k6i4S2W2 2005-4-27 16:04 0
peaceworld 雪币： 222 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 97 粉丝 0 关注私信	peaceworld 7 楼没关系,慢慢来,用 Import REConstructor 修复时,前提是要保持 OD 正在调试原程式到 OEP 处.不能关闭.除非是利用树状档案处理. 请再次下载录像档案,内有用 Import REConstructor 修复IAT,和在 OD 视窗中判断 IAT 的 RVA 与 SIZE.做的简陋不过应看的懂,祝幸运!! 778K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4u0S2M7r3W2V1M7$3S2S2M7X3g2Q4x3X3g2V1k6g2)9J5c8X3k6A6L8r3g2K6i4K6u0r3x3e0b7#2y4U0M7@1z5g2)9J5c8U0b7#2y4W2)9J5k6i4u0S2M7W2)9J5k6h3S2@1L8h3H3`. 2005-4-27 19:38 0
wynney 雪币： 224 活跃值： (147) 能力值： ( LV9，RANK：970 ) 在线值：发帖 65 回帖 1109 粉丝 8 关注私信	wynney 24 8 楼楼主是台湾的！~ 2005-4-27 20:54 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

Pilihero

发帖

回帖

RANK

关注

私信

他的文章

[求助]菜鸟脱fsg的疑问 4520

关于我们

联系我们

企业服务

看雪公众号

最新回复 (7)
fly 雪币： 898 活跃值： (4054) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 34 关注私信	fly 85 2 楼先看基础知识会对你继续学习大有好处的 CMP DWORD PTR SS:[EBP-228],0FB45 看样子是个大小检验脱壳后修复输入表了没有 2005-4-23 23:34 0
peaceworld 雪币： 222 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 97 粉丝 0 关注私信	peaceworld 3 楼引用:"按住f8，使其单不营运，等会我们会发现一个地址老是往回跳，可以在下面一个地址设断，然后按f9跳过这无数次的循环。" 在本例中,可以在下面一个地址直接按 F4.如要用设断点方式,请在达到目的后清除断点. 引用:"00430805 - 0F84 5B1EFDFF JE 1551-cra.00402666 //看到了吧，这就是跨"段"的jmp" 可直接在此地址用 F4 或设断点方式,运行到此,在按 ENTER 键,跟随到地址 00402666 处,设断后 F9 运行,停下就可 DUMP 了. 附件为录像档案,请下载参考. 556K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4u0S2M7r3W2V1M7$3S2S2M7X3g2Q4x3X3g2V1k6g2)9J5c8X3k6A6L8r3g2K6i4K6u0r3x3e0b7H3y4e0b7^5x3W2)9J5c8U0p5J5x3#2)9J5k6i4u0S2M7W2)9J5k6h3S2@1L8h3H3`. 2005-4-24 10:02 0
Pilihero 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 3 粉丝 0 关注私信	Pilihero 4 楼 Fly老大说的是….@@ 是该先学懂基础知识，因为刚巧看见网上有个手脱录像，于是才急着感受手脱的过程，多谢您的建议，！ Peaceworld前辈，实在很感谢你您啊，您超热心的，还传了教学录像给我参考，不过我按步骤操作了一次后，又碰壁了哀…麻烦您指正一下，很不好意思。问题录像之二：b26K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3y4U0i4K6u0W2L8Y4c8#2N6q4)9J5k6h3g2V1N6g2)9J5k6i4c8%4i4K6u0r3i4K6N6q4K9r3y4F1i4K6u0r3i4K6g2X3N6r3S2W2L8h3g2K6i4K6u0r3k6$3I4G2j5X3q4D9i4K6u0r3i4K6g2X3N6Y4c8A6i4K6g2X3j5$3&6X3i4K6u0r3k6$3I4G2j5X3q4D9i4K6u0r3M7i4g2W2M7%4c8A6L8$3^5K6i4K6u0W2k6i4S2W2 还有，前辈的Od是繁体的吗？　请问该如何取得呢？因为OS是繁体的，简体的某些选项都是乱码无法会意，想寻找看看是否有繁体的版本，谢谢您！ 2005-4-24 23:52 0
peaceworld 雪币： 222 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 97 粉丝 0 关注私信	peaceworld 5 楼我用模式1(如下图)来 DUMP 就能修复 IAT,你却不行,不过没关系,你可用 ImportRECE 来修复IAT ,相关工具(OllyDBG1.10,Import REConstructor1.6,LordPE )请点击以下连结下载,解压时请观看注解. 930K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4m8W2j5h3y4W2P5h3g2F1L8r3g2G2L8W2)9J5k6h3S2G2L8%4m8K6i4K6u0W2L8X3g2Q4x3X3g2B7M7q4)9J5c8Y4g2F1M7r3q4U0K9$3g2J5i4K6u0W2M7X3q4J5 2005-4-25 06:22 0
Pilihero 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 3 粉丝 0 关注私信	Pilihero 6 楼 P前辈，很感谢您的帮忙，提供了很好的相关知识，如果未来哪天对软件调试有进一步的认识，都要归功给您。经过Import REConstructor修理，我还是无法顺利修复这个档案...不知道哪里出错了..只好再上来请示，谢谢观看。原程序无法找到程序输入点,使用Import REConstructor修理过程: Trace Level1 (Disasm) 经使用后全部的仍然为invalid, 或者发生程序死当的情形 Level 2 ,Level 3 一使用..程序就当掉了 Delete thunk 使用后~不行dump 使用了LordPE当中的重建PE ..也不行　@@ 不知道是否方法有误，如果错了，希望不吝指正。问题录像： 1d7K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3&6@1N6i4c8Q4x3X3g2W2k6s2g2Q4x3X3g2@1N6#2)9J5c8W2)9%4c8h3S2U0L8W2)9J5c8W2)9#2k6Y4c8Z5k6h3#2W2M7#2)9J5c8X3N6D9L8$3u0S2L8q4)9J5c8W2)9#2k6Y4k6@1K9g2)9#2k6X3y4F1k6W2)9J5c8X3N6D9L8$3u0S2L8q4)9J5c8W2q4c8f1e0c8Q4x3X3g2W2P5r3f1`. 问题档案： 043K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3&6@1N6i4c8Q4x3X3g2W2k6s2g2Q4x3X3g2@1N6#2)9J5c8W2)9%4c8h3S2U0L8W2)9J5c8W2)9#2k6Y4c8Z5k6h3#2W2M7#2)9J5c8X3N6D9L8$3u0S2L8q4)9J5c8W2)9#2k6Y4k6@1K9g2)9#2k6X3y4F1k6W2)9J5c8X3N6D9L8$3u0S2L8q4)9J5c8V1g2d9f1V1!0d9i4K6u0W2k6i4S2W2 2005-4-27 16:04 0
peaceworld 雪币： 222 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 97 粉丝 0 关注私信	peaceworld 7 楼没关系,慢慢来,用 Import REConstructor 修复时,前提是要保持 OD 正在调试原程式到 OEP 处.不能关闭.除非是利用树状档案处理. 请再次下载录像档案,内有用 Import REConstructor 修复IAT,和在 OD 视窗中判断 IAT 的 RVA 与 SIZE.做的简陋不过应看的懂,祝幸运!! 778K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4u0S2M7r3W2V1M7$3S2S2M7X3g2Q4x3X3g2V1k6g2)9J5c8X3k6A6L8r3g2K6i4K6u0r3x3e0b7#2y4U0M7@1z5g2)9J5c8U0b7#2y4W2)9J5k6i4u0S2M7W2)9J5k6h3S2@1L8h3H3`. 2005-4-27 19:38 0
wynney 雪币： 224 活跃值： (147) 能力值： ( LV9，RANK：970 ) 在线值：发帖 65 回帖 1109 粉丝 8 关注私信	wynney 24 8 楼楼主是台湾的！~ 2005-4-27 20:54 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复