FSG脱壳学习

fsg脱壳可采用：

     1,超好用的esp定律法

     2,单步跳转法

不过这两个方法值得注意的是，fsg壳比upx壳的oep更加的隐蔽。可能看不到大的跳转，会把跳转地址隐藏在寄存器单元中如ebx，esp等

OEP的查找并不难，主要是修复，和查找IAT

*IAT*ImportAddressTableAddress导入地址表的地址

因为ImportREC自动查找的IAT不完全，所以需要手动查找

RVA起始地址和大小有误可通过以下方法查询

       找到一个call命令（右键follow in dump-memory

 address），通过REC判断是否为描述中的调

用地址,如

果是，就跳到该地址（在命令行中输入d+adress）手动拖

动查找IAT的REC地址

找到初始地址，和末地址。（上方value全为0；下方value为0）

初始地址需要减去基地址 才是RVA的起始地址

 

好几天了，一直没有成功。我打算不在耽搁下去。一直出现的问

题就是显示无效的，导入函数表内没有一个是有效的