KGB SFX 脱壳

有个文件，File Info 显示 KGB SFX，KGB 是一个像winrar那样的压缩软件。

sourceforge.net/projects/kgbarchiver/

下载安装后，不能把目标文件解压。

想到以前看到的教程， 压缩壳 都可以用 ESP 定律脱壳。

1、od载入，到EP，F8 一次

2、在数据窗口 转到ESP的地址

3、在ESP地址下 硬件访问 Word 断点

4、F9 执行，到：

0049B427    8D4424 80       LEA EAX, DWORD PTR SS:[ESP-80]
0049B42B    6A 00           PUSH 0
0049B42D    39C4            CMP ESP, EAX
0049B42F  ^ 75 FA           JNZ SHORT 0049B42B
0049B431    83EC 80         SUB ESP, -80
0049B434  - E9 A173F8FF     JMP 004227DA

很明显，有一个很大的跳转 JMP 004227DA

5、执行到 004227DA，lordpe dump程序

6、ImpREC 1.7c oep 填 227DA  (004227DA-00400000)，点自动搜索，然后点get import，看到找到了很多函数，然后点fix dump

7、修复后的文件可以成功打开

文件优化：http://www.unpack.cn/thread-7801-1-1.html  没心思继续研究了