记录小白的第一次CM

caiji1 · 发表于 2021-4-8 20:04

易语言（FSG的壳）

图片1.png
程序实例
图片2.png
单步F8，到push ebp，使用ESP定律，向下单步，jmp处就是ESP的入口
图片4.png
到达OEP
图片5.png
使用LoedPE工具，修正镜像大小,完整转存
图片6.png
程序无法打开，使用Import，输入OEP，但是一看这就不行
图片7.png
进行修复，程序肯定不能运行，此时需要手动查找IAP
在OEP内找到第一个CALL
CALL内的0x49A1DC-400000=[b]0009A1DC，能够在import内找到
图片8.png
图片9.png
此时在OD命令行输入d [b]49A1DC，回车
向上找，直到全为00000000，记住此时的地址0049A000 77DA7842 advapi32.RegOpenKeyExA
图片11.png
然后滚轮向下，直到没有注释时即可，记住此处的地址。
0049A37C 7FFFFFFF
图片12.png
打开import
在EVA处输入0049A000-400000=0009A000
在大小处输入0049A37C-400000=0009A37C（直接输入1000，输入计算的值软件会直接卡死）
遇到无效函数时可以先打开软件，使用等级三修复
图片13.png
程序已经可以成功运行了
QQ截图20210408195723.png
此时将脱壳后的软件载入OD
使用PUSH大法，程序就爆破成功了
QQ截图20210408200123.png