3.4 FSG变形壳脱壳笔记首先进行侦壳：

文章插图
使用ESP定律，首先把程序扔到OllyIce里面，F8单步走，观察ESP变化，在ESP第一次发生变化时，对ESP对应的地址处设置内存硬件访问WORD断点，然后SHIFT+F9运行，在程序停下来之后，取消硬件断点，进行F8单步：

文章插图
用F4略过向后的跳转(循环)，然后继续往下找，一直到这里：

文章插图
在这个jmp下面F4，程序会跑飞 。说明程序代码在这个循环中就已经释放完毕，所以向上找找这个循环中有没有带条件的大跳 。这样很容易找到magic jump的位置，然后我们Enter或者Ctrl+G到00402666的位置，发现果然是OEP，重新分析，然后F2下断点，让程序走到OEP：

文章插图
如果是FSG1.33，直接使用LoadPE dump文件，然后使用ImportREC修复，就可以正常脱壳了 。但是这里在使用ImportREC修复时，会出现一个无效指针：

文章插图
这里直接剪掉(或者删掉)这个指针，然后修复转存文件，发现无法正常打开：
然后再把修复后的程序，丢到OllyIce中F9直接运行：

文章插图
这里是变形壳添加的一个暗桩，会导致程序出现异常退出，这里直接nop掉或者把之前的jle(校验)改成jmp，然后保存修改另存文件 。然后就可以运行了

• 复印机是如何复印文件的呢 怎么复印文件
• 谷歌正为安卓系统打造安全文件夹，可用密码加密文件
• 我的手机越来越慢了，我看了看手机里文件管理，我128G的手机存储
• 万能zip怎么打开 gzip文件怎么打开
• 电脑关闭结束exe进程图文教程 电脑如何结束一个进程
• 电脑上的文件夹如何进行压缩？ 电脑如何压缩文件
• 手机里面的英文储存文件可以删吗？dcim又是什么文件？
• pdf文件怎么打开？ 怎样打开pdf文件
• 手机qq上传文件失败怎么办 qq无法传输文件
• 如何加密电脑文件夹 怎么样加密文件夹