脱壳之压缩壳-FSG

最新推荐文章于 2022-06-27 11:21:55 发布
最新推荐文章于 2022-06-27 11:21:55 发布
阅读量220 收藏
点赞数
分类专栏: 脱壳
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_60551756/article/details/119519103
版权
本文介绍了如何对使用FSG压缩壳的程序进行脱壳。通过单步跟踪寻找OEP,利用API特征,以及DUMP修复过程,详细阐述了从识别API调用来确定OEP,最终成功脱壳并修复程序的方法。
摘要由CSDN通过智能技术生成

前言

因为FSG是压缩壳,所以脱壳时最应该尝试的是ESP定律,其次就是单步跟踪,这里入口点没有PUSHAD/PUSHFD指令,所以用单步跟踪寻找OEP,再者也可以尝试用API特征寻找OEP

API特征:

release版的VS2013的第一个API调用是:GetSystemTimeAsFileTime

VC6.0的第一个API调用是:GetVersion

Delphi的第一个API调用是:GetModuleHandleA

单步跟踪寻找OEP

1、OD加载程序后,单步观察堆栈变化

2、程序一开始并没有保存环境,遇到这种情况单步继续

最低0.47元/天 解锁文章
o0ps_代码媛
关注
专栏目录
手动脱壳-熊猫烧香病毒-FSG v2.0
Hades的博客
04-24 1862
手动脱壳-熊猫烧香病毒-FSG v2.0操作环境系统:Windows 7 32bit工具: Exeinfope,查        OllyDbg,动态调试,Dump内存        ImportREC,修复IATFSG简介FSG v2.0是一款超级压缩,经过加后会减小目标文件体积.这个会对源程序IAT做简单的处理.0x0 查使用ExeinfoPE查,熊猫烧香样本显示带有压缩FSG...
简单脱壳教程笔记(6)---手脱FSG
oBuYiSeng的博客
03-19 2985
本笔记是针对ximo早期发的脱壳基础视频教程,整理的笔记。本笔记用到的工具下载地址: http://download.csdn.net/detail/obuyiseng/9465972 简介: FSG是一款压缩。 工具:ExeinfoPE或PEid、OD、LordPE、ImportREConstructor 脱壳文件:04.手脱FSG.rar 寻找OEP
一键脱任何压缩
02-12
一键脱任何压缩,包括国内和国外的压缩,此工具脱壳后无需修复,即可正常使用
fsg脱壳
weixin_42539095的博客
12-25 455
前段时间学过一个fsg,复习一下,写成笔记 老规矩,先查一下 载入OD后直接来到下面 下断,运行后跳过去就是OEP dump 修复 发现只找到一个手动查找一下OD中输入 将如下位置的FFFFF及7FFFFF改成0,重新获取即可 再次查找 保存,完成 ...
压缩脱壳
weixin_41487541的博客
06-27 589
ESP定律可以找到大部分压缩的OEP,但是对于FSG失效。目前常见的FSG手脱方法大多是单步向下,单步一定能找到OEP但是会消耗时间并且可能出现跟飞的情况。可以通过OD中的SFX(自解压)设置选项来快速找到OEP。...
FSG脱壳
ACdream
01-25 1291
在网上找几个unpackme来训练 FSG1.31的 先F12让程序暂停,然后使用SFX法 Ctrl+F2重启,然后F9! SFX脱壳大法好~ 这里就是OEP了,55 8B EC其实就是 在这里使用Ollydump就好~ 脱壳成功了哇~ FSG1.31属于简单(和UPX一样),可以使用F8大法脱壳,但是循环的嵌套层数比UPX多也更烦,在用
手工脱壳FSG压缩【IAT反修复】
aihan8042的博客
03-19 217
一、工具及介绍 使用工具:Ollydbg,PEID,ImportREC,LoadPE FSG 2.0: 二、脱壳 1、追踪 修复IAT表代码 入口处,没有pushad特征,无法使用ESP定律。 查看导入表信息。 推测利用LoadLibrary 和 GetProcAddress ...
逆向脱壳-fsg手动脱壳
11-17 741
本文以2020湖湘杯第二道逆向为例,原题为无的exe文件: 首先对文件easyre.exe进行fsg,加版本为fsg2.0:工具链接为: 对加完fsg之后的程序进行查,显示为: 可以看出有许多地方发生了改变,最重要的就在于程序入口的改变,大家都知道fsg压缩,原理就在于在程序原OEP之前或在程序之后加上一段数据,使得程序调用是通过压缩段数据进行转发的,不影响程序的正常运行。首先将压缩后的程序进行OD载入: 在载入之后一路F8单步步过运行,当遇到如上图所示,向上跳转的情况时
万能脱壳机 能够脱ASPack FsG UPX
05-23
以下是关于"万能脱壳机"及其支持的几种类型——ASPack、FsG和UPX的详细知识讲解。 首先,ASPack是一种著名的文件压缩和加密工具,常用于减少可执行文件的大小,提高其加载速度。然而,由于其强大的混淆能力,...
全能脱壳
10-23
这个工具的工作原理,它的特征和编译器特征保存在HackFans.txt里面,能识别出来的,基本上都有对应的脱壳函数,用特征脱壳,可以脱壳,对于一些不好特殊的你可以用OEP侦测来脱壳,这要依赖编译器特征,你也可以自己...
FSG 2.0脱壳
07-10
可以脱掉FSG 2.0 -> bart/xt的脱壳这种事不保证100%好用,2分还算公道
手动脱FSG实战
Fly20141201. 的专栏
07-09 4649
作者:Fly2015 对于FSG,之前没有接触过是第一次接触,这次拿来脱壳的程序仍然是吾爱破解论坛破解培训的作业3的程序。对于这个折腾了一会儿,后来还是被搞定了。   1.查 首先对该程序(吾爱破解培训第一课作业三.exe)进行查: 很遗憾,这次DIE也不行了,不过没事。 2.脱壳 OD载入该加的程序进行分析,下面是入口点的汇编代码:
手动脱UPX压缩
bangren3304的博客
09-25 316
示例程序演示 样例程序选择win7自带的notepad.exe,该程序原本是没有加的: 拷贝notepad.exe文件一个副本,重命名为notepad - upx.exe,我们对notepad - upx.exe进行加upx压缩之后查: 脱upx od调试小技巧: F8 步过/向下的循环直接跳过 F7 步入 F4 遇到向上的循环,光标选中循环体的下一句汇编指令(非调用指...
脱壳FSG的分析和脱壳后附加代码的分析
m0_37120576的博客
05-01 669
这里我们讨论下FSG脱壳。众所周知,FSG是一个强大的压缩,对于压缩,我们可以用堆栈平衡法进行快速脱壳。当我们将加了FSG的程序载入OD的以后,可以关注右边的ESP寄存器,在突变之后,按照ESP定律法按部就班的操作,就可以找到OEP。 FSG1.3版本: 在我们进入之后,根据堆栈平衡法,往下找会发现一个je,但是没那么容易直接跳,所以我们需要下一个条件断点,然后才能跳到正确的
脱壳入门(二)之FSG2.0压缩
w_g3366的博客
08-07 1033
脱壳入门(二)之FSG2.0压缩 一、环境和工具 Windows7+OllyDbg+PEID 二、寻找OEP 用PEID工具查 FSG2.0压缩、链接器版本被隐藏了、区段也没名字、也不知到是什么语言编写的。 FSG2.0有一些特征,可以根据特征来寻找OEP 方法一:跳转到OEP代码: JMP DWORD PTR DS:[EBX+0xC] Ctrl+F搜索该条指令,F7单步一步跳...
详细分析脱FSG
leibso的博客
07-30 801
文章目录1 拿到当前加程序,用exeinfo/PeID 看一下信息2 使用LordPE 观察以下PE结构3 使用OD调试此程序尝试找OEP3.1 打开OD定位3.2 尝试找 OEP4 Dump5 修复IAT6 检测我们的脱壳之后的程序 1 拿到当前加程序,用exeinfo/PeID 看一下信息 可以看出是很老的FSG。 分析: ​ Entry Point : 000000154,熟悉P...
FSG2.0 手动脱壳笔记
草原Song
07-06 2025
    为了逆向研究一款木马,给自己的马提供思路,需要脱壳。用PEID侦测,发现类型为FSG 2.0 -> bart/xt。试着脱了一下,ESP定律,内存镜像法都跑飞了。无奈只好单步跟踪了!这个很多朋友反应不好脱,有一定的难度,脱完之后的修复是关键!     用OD载入,00400154 >  8725 6CD34000   xchg    ds:[40D36C], esp  ;停在这里单步
手工脱壳FSG压缩-IAT表修复
baochi8399的博客
07-19 342
目录 一、工具及介绍 二、脱壳 2.1、单步跟踪脱壳 2.2、IAT修复 三、程序脱壳后运行截图 四、个人总结 五、附件 一、工具及介绍 使用工具:Ollydbg、PEID、ImportR...
FSG教程:Oracle财务报表生成器的强大组件与功能详解
FSG-教材深入讲解了Oracle General Ledger中的FSG(财务报表生成器)技术,这是一套强大的报表构建工具,特别适合于生成诸如损益表和资产负债表等财务报表。该教材共分为十个主要部分: 1. **报表组件**:首先介绍...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值