FSG脱壳学习

最新推荐文章于 2022-06-27 11:21:55 发布
最新推荐文章于 2022-06-27 11:21:55 发布
阅读量604 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hzq24601/article/details/52475806
版权

fsg脱壳可采用:

     1,超好用的esp定律法

     2,单步跳转法

不过这两个方法值得注意的是,fsg壳比upx壳的oep更加的隐蔽。可能看不到大的跳转,会把跳转地址隐藏在寄存器单元中如ebx,esp等


OEP的查找并不难,主要是修复,和查找IAT

*IAT*ImportAddressTableAddress导入地址表的地址


因为ImportREC自动查找的IAT不完全,所以需要手动查找


RVA起始地址和大小有误可通过以下方法查询


       找到一个call命令(右键follow in dump-memory


 address),通过REC判断是否为描述中的调


用地址,如


果是,就跳到该地址(在命令行中输入d+adress)手动拖


查找IAT的REC地址


找到初始地址,和末地址。(上方value全为0;下方value为0)


初始地址需要减去基地址 才是RVA的起始地址


 


好几天了,一直没有成功。我打算不在耽搁下去。一直出现的问


题就是显示无效的,导入函数表内没有一个是有效的      


creeew
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PEiD软件分析
08-03
PEiD软件分析,静态编辑
手动脱FSG壳实战
Fly20141201. 的专栏
07-09 4612
作者:Fly2015 对于FSG壳,之前没有接触过是第一次接触,这次拿来脱壳的程序仍然是吾爱破解论坛破解培训的作业3的程序。对于这个壳折腾了一会儿,后来还是被搞定了。   1.查壳 首先对该程序(吾爱破解培训第一课作业三.exe)进行查壳: 很遗憾,这次DIE也不行了,不过没事。 2.脱壳 OD载入该加壳的程序进行分析,下面是入口点的汇编代码:
一些非常规壳的脱壳方法
行走在黑暗中的狙击者
09-01 228
FSG壳:入口特征如下,需要注意程序先单步F8到movs处再用ESP定律法脱壳 到下图位置遇到三个跳转,先删除之前下的断点,再直接在jmp处下断点,单步F8一下直接到oep处 dump后用import REC修复后无法打开软件,需要修复下函数,在OD中随便找个CALL(需要跟着函数名的),如下图,再跟importREC对照一下看是不是函数地址能对应起来,然后在OD命令行中输入d xx...
脱壳笔记-手工脱FSG压缩壳
走在成长的路上
12-23 2454
详解手工脱FSG压缩壳
FSG脱壳
ACdream
01-25 1263
在网上找几个unpackme来训练 FSG1.31的壳 先F12让程序暂停,然后使用SFX法 Ctrl+F2重启,然后F9! SFX脱壳大法好~ 这里就是OEP了,55 8B EC其实就是 在这里使用Ollydump就好~ 脱壳成功了哇~ FSG1.31属于简单壳(和UPX一样),可以使用F8大法脱壳,但是循环的嵌套层数比UPX多也更烦,在用
FSG 2.0脱壳
08-10
FSG 2.0脱壳机,自动去掉FSG2.0的壳
FSG2.0脱壳机汉化版
09-05
FSG2.0脱壳机汉化版,很不错的工具,免OD脱壳,超级菜鸟都可以用的
手动脱FSG壳实战的分析文档
07-09
手动脱FSG壳的详细的分析文档,该程序也是吾爱破解培训第一课作业3的分析和脱壳
脱壳2_fsg1
08-08
脱壳2_fsg1
【转】脱壳工具
学习........
06-10 4130
脱壳工具http://www.pediy.com/tools/unpacker.htm 文件类型侦测工具 peid 0.94
恶意代码分析实战Lab18
ACdream
08-06 537
论工具的重要性:百度一下找个万能脱壳机:linxerUnpacker 可以准确识别4个且成功脱壳 Lab18-02.exe : [FSG v1.00 (Eng) -> dulek/xt] Lab18-03.exe : [PECompact v1.4x+] Lab18-04.exe : [ASPack v2.12] Lab18-05.exe : [Upack V0.37 -> Dwi...
详细分析脱FSG
leibso的博客
07-30 621
文章目录1 拿到当前加壳程序,用exeinfo/PeID 看一下信息2 使用LordPE 观察以下PE结构3 使用OD调试此程序尝试找OEP3.1 打开OD定位壳3.2 尝试找 OEP4 Dump5 修复IAT6 检测我们的脱壳之后的程序 1 拿到当前加壳程序,用exeinfo/PeID 看一下信息 可以看出是很老的壳FSG。 分析: ​ Entry Point : 000000154,熟悉P...
手脱FSG压缩壳及问题处理
黑KING的博客
08-05 411
1.用PEid进行查壳 2.使用LordPE进行检查重定向是否已分离,未分离的话,在脱壳运行中会跳往随机基址 3.使用我爱破解LCG打开需脱壳程序 4.单步2次,选择数据窗口跟随 5.右键单击短点,选择硬件访问,选择Word或Dword皆可,然后F9运行 6.跳转后位置向上查找,因FSG特政js/jnz/jmp的jmp是OEP 7.单击调试,选择硬件断点,取消刚...
手脱 FSG 1.0 壳
qq_40249811的博客
06-24 441
1. 加载有壳程序 2.找到 Loadlibrary 函数掉用处下断点,在第二个ret 向上数第二个就是 LoadLibrary,第一个是GetProcAddress 这段代码用于填充IAT 3 三次路过 Loadlibrary 函数掉后,去掉断点, 在GetProcAddress 上面第一个JE的函数处下断点 4.用行到断点处,向下找就是 函数入口 ...
fsg脱壳(手动)
weixin_45574485的博客
08-28 720
1.第一步,老规矩,查壳,可以很清楚的看到是fsg2.0的壳 2.用od打开带壳程序,结果如下所示 3.使用esp法,先f8两步,然后对esp下硬件断点,再f9运行到下图 4.根据对fsg壳的经验,我们在断点往上翻,发现一个jmp dword ptr ds:[ebx+0xC],这里过去就应该是oep了,在此处f2打断点,再取消硬件断点。f9,执行到断点。 5.f8跳转过去,一片灰色,ctr...
自己的脱壳过程(FSG1.33)
潜心学习
07-08 1352
目标程序是VB写的,记得以前有一个巧方法到达OEP,但是忘记了,还是按部就班吧 单步跟踪到这个地方: 如果想要在xor ecx,ecx处F4的话程序会跑飞 00404BE7 AC lods byte ptr [esi] 00404BE8 84C0 test al, al 00404BEA ^ 75 FB
压缩壳脱壳
weixin_41487541的博客
06-27 560
ESP定律可以找到大部分压缩壳的OEP,但是对于FSG壳失效。目前常见的FSG手脱方法大多是单步向下,单步一定能找到OEP但是会消耗时间并且可能出现跟飞的情况。可以通过OD中的SFX(自解压)设置选项来快速找到OEP。...
手脱FSG v1.33
weixin_30706507的博客
11-15 111
1.载入PEID FSG v1.33 (Eng) -> dulek/xt 2.载入OD,先F8跟一会 004103E3 > BE A4014000 mov esi,fsg1_33.004001A4 ; //程序入口 004103E8 AD lods dword ptr ds:[esi] 004103E9 ...
snc27p085fsg 烧录
最新发布
09-11
对于“snc27p085fsg”,根据这个信息的形式,我不确定具体是指什么。如果这是一个特定的芯片或存储设备的型号,那么“snc27p085fsg”的烧录可能是指将相应的程序或数据写入到这个芯片或设备中。 要进行烧录,通常...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值