FSG2.0脱壳记录

最新推荐文章于 2021-08-08 19:25:58 发布
最新推荐文章于 2021-08-08 19:25:58 发布
阅读量850 收藏
点赞数 1
分类专栏: 二进制
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CosmopolitanMe/article/details/89036413
版权

想要加壳文件的可以评论留言。。
1.现用PEId查一下壳,发现是FSG压缩壳
在这里插入图片描述2.载入od,是fsg的入口特征
在这里插入图片描述3.od往下到 jmp dword ptr:[ebx+0xc],下断点
在这里插入图片描述4.F9 运行,执行到jmp,跳转到这里
在这里插入图片描述5.到oep,删除模块分析
在这里插入图片描述6.后面用LordPe dump,Import REC修复导入表,这里不再赘述。
在这里插入图片描述

Cosmop01itan
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
FSG2.0 手动脱壳笔记
草原Song
07-06 2012
    为了逆向研究一款木马,给自己的马提供思路,需要脱壳。用PEID侦测,发现类型为FSG 2.0 -> bart/xt。试着脱了一下,ESP定律,内存镜像法都跑飞了。无奈只好单步跟踪了!这个壳很多朋友反应不好脱,有一定的难度,脱完之后的修复是关键!     用OD载入,00400154 >  8725 6CD34000   xchg    ds:[40D36C], esp  ;停在这里单步
手动脱壳-熊猫烧香病毒-FSG v2.0
Hades的博客
04-24 1828
手动脱壳-熊猫烧香病毒-FSG v2.0操作环境系统:Windows 7 32bit工具: Exeinfope,查壳        OllyDbg,动态调试,Dump内存        ImportREC,修复IATFSG壳简介FSG v2.0是一款超级压缩壳,经过加壳后会减小目标文件体积.这个壳会对源程序IAT做简单的处理.0x0 查壳使用ExeinfoPE查壳,熊猫烧香样本显示带有压缩壳FSG...
FSG 2.0脱壳
weixin_33835103的博客
10-07 125
bingtangscm4.exe---脱壳 搞定脱壳1.用Ollydbg载入2.在 GetProcAddress 设置断点3.F9运行程序,ALT+F9返回004001D1 FF63 0C JMP DWORD PTR DS:[EBX+C]//这里下断点,然后F9运行,为什么在这里下断不懂,跟教程学的004001D4 50 ...
FSG 2.0脱壳
07-10
可以脱掉FSG 2.0 -> bart/xt的壳,脱壳这种事不保证100%好用,2分还算公道
FSG2.0壳的脱壳方法
biyusr的专栏
01-06 626
FSG2.0为压缩壳 1.单步脱壳法。 2.第二个脱壳法就比较神奇了,是利用了调试选项中的sfx的功能。 2.1先把od的选项调试中的sfx选项选择“字节方式跟踪真正入口处(速度非常慢)” 重新加载程序。 2.2等程序加载完成后,重新来到od的选项调试中的sfx选项选择“停在自解压器的入口点” 点击确定,程序左下角就开始进行read和write操作,等程序暂停后就到达了OEP。...
FSG2.0脱壳机汉化版
09-05
FSG2.0脱壳机汉化版,很不错的工具,免OD脱壳,超级菜鸟都可以用的
自己的脱壳过程(FSG2.0)
潜心学习
07-08 1476
在UPK论坛下了一个密界精华,其实没看到有特别牛的东西,但是适合我等菜鸟,决定先把里面的脱壳示例中的程序脱一次,积累经验。 在我的脱文里,我会尽量将每一步的缘由说清楚,但如果你是基本反汇编,PE格式都不知道的就。。了 到OEP的方法:因为是压缩壳,跳转到OEP的方法多半是用jmp等跳转指令,所以单步跟踪即可 过程: 一直单步直到这个地方,你会发现如果想在004001DC上F4,程序
脱壳入门(二)之FSG2.0压缩壳
w_g3366的博客
08-07 1008
脱壳入门(二)之FSG2.0压缩壳 一、环境和工具 Windows7+OllyDbg+PEID 二、寻找OEP 用PEID工具查壳 壳是FSG2.0压缩壳、链接器版本被隐藏了、区段也没名字、也不知到是什么语言编写的。 FSG2.0壳有一些特征,可以根据特征来寻找OEP 方法一:跳转到OEP代码: JMP DWORD PTR DS:[EBX+0xC] Ctrl+F搜索该条指令,F7单步一步跳...
fsg脱壳(手动)
weixin_45574485的博客
08-28 752
1.第一步,老规矩,查壳,可以很清楚的看到是fsg2.0的壳 2.用od打开带壳程序,结果如下所示 3.使用esp法,先f8两步,然后对esp下硬件断点,再f9运行到下图 4.根据对fsg壳的经验,我们在断点往上翻,发现一个jmp dword ptr ds:[ebx+0xC],这里过去就应该是oep了,在此处f2打断点,再取消硬件断点。f9,执行到断点。 5.f8跳转过去,一片灰色,ctr...
FSG 2.0 plus(增强版)
06-21
FSG 2.0 plus(增强版),请勿用于非法用途
手动脱FSG壳实战的分析文档
07-09
手动脱FSG壳的详细的分析文档,该程序也是吾爱破解培训第一课作业3的分析和脱壳
FSG脱壳
ACdream
01-25 1276
在网上找几个unpackme来训练 FSG1.31的壳 先F12让程序暂停,然后使用SFX法 Ctrl+F2重启,然后F9! SFX脱壳大法好~ 这里就是OEP了,55 8B EC其实就是 在这里使用Ollydump就好~ 脱壳成功了哇~ FSG1.31属于简单壳(和UPX一样),可以使用F8大法脱壳,但是循环的嵌套层数比UPX多也更烦,在用
fsg脱壳
weixin_42539095的博客
12-25 447
前段时间学过一个fsg的壳,复习一下,写成笔记 老规矩,先查一下壳 载入OD后直接来到下面 下断,运行后跳过去就是OEP dump 修复 发现只找到一个手动查找一下OD中输入 将如下位置的FFFFF及7FFFFF改成0,重新获取即可 再次查找 保存,完成 ...
自己的脱壳过程(FSG1.33)
潜心学习
07-08 1378
目标程序是VB写的,记得以前有一个巧方法到达OEP,但是忘记了,还是按部就班吧 单步跟踪到这个地方: 如果想要在xor ecx,ecx处F4的话程序会跑飞 00404BE7 AC lods byte ptr [esi] 00404BE8 84C0 test al, al 00404BEA ^ 75 FB
恶意代码分析实战Lab1——03 补:FSG脱壳
sxr__nc的博客
12-21 543
前边在做Lab1-03的时候检测壳的信息,显示是FSG壳,找了一下,发现之前的fsg脱壳笔记并没有发出来,再这里,再补一下,这个程序的脱壳过程: 0x01查壳信息 0x02开始脱壳 载入OD 按 Alt+M 在Text段下断点: F9运行: 听下来之后Alt+F9返回到用户代码: 接着F4 运行到大跳转处: F7 运行过去 就是OEP了(第一次运行到大田转的地方会显示跳转未实现,...
脱壳之压缩壳-FSG
m0_60551756的博客
08-08 206
前言 因为FSG是压缩壳,所以脱壳时最应该尝试的是ESP定律,其次就是单步跟踪,这里入口点没有PUSHAD/PUSHFD指令,所以用单步跟踪寻找OEP,再者也可以尝试用API特征寻找OEP API特征: release版的VS2013的第一个API调用是:GetSystemTimeAsFileTime VC6.0的第一个API调用是:GetVersion Delphi的第一个API调用是:GetModuleHandleA 单步跟踪寻找OEP 1、OD加载程序后,单步观察堆栈变化 ..
逆向脱壳-fsg手动脱壳
11-17 708
本文以2020湖湘杯第二道逆向为例,原题为无壳的exe文件: 首先对文件easyre.exe进行fsg加壳,加壳版本为fsg2.0:工具链接为: 对加完fsg壳之后的程序进行查壳,显示为: 可以看出有许多地方发生了改变,最重要的就在于程序入口的改变,大家都知道fsg为压缩壳,原理就在于在程序原OEP之前或在程序之后加上一段数据,使得程序调用是通过压缩段数据进行转发的,不影响程序的正常运行。首先将压缩后的程序进行OD载入: 在载入之后一路F8单步步过运行,当遇到如上图所示,向上跳转的情况时
脱壳笔记-手工脱FSG压缩壳
走在成长的路上
12-23 2478
详解手工脱FSG压缩壳
Oracle EBS FSG报表解决方案:精确、灵活与安全
Oracle EBS (Enterprise Business Suite) 的 Financial Summary Generator (FSG) 报表解决方案是一个针对企业财务管理的关键工具。这份文档详细介绍了如何设计和配置FSG报表,以满足企业对财务信息的准确、灵活、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值