手动脱FSG壳实战

最新推荐文章于 2020-11-17 09:34:27 发布
最新推荐文章于 2020-11-17 09:34:27 发布
阅读量4.6k 收藏 2
点赞数
分类专栏: 软件脱壳练习 软件脱壳练习 文章标签: FSG壳 FSG脱壳 手动脱FSG壳 FSG 脱壳
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq1084283172/article/details/46817103
版权

作者:Fly2015

对于FSG壳,之前没有接触过是第一次接触,这次拿来脱壳的程序仍然是吾爱破解论坛破解培训的作业3的程序。对于这个壳折腾了一会儿,后来还是被搞定了。

 

1.查壳

首先对该程序(吾爱破解培训第一课作业三.exe)进行查壳:


很遗憾,这次DIE也不行了,不过没事。


2.脱壳

OD载入该加壳的程序进行分析,下面是入口点的汇编代码:


起初对于该种加壳程序也是比较陌生,但是由于OD使用的还算熟悉,以及结合该加壳程序获取函数的API调用地址的特点,很快发现了该程序的关键点汇编:


于是在地址004001D1F2下断点,然后F9运行到该地址004001D1处,地址0041DDAC就是被加壳程序真实的OEP的地址。


F7单步跟进到地址0041DDAC处,遗憾的是没有看到我们熟悉的入口点的汇编代码,但是不要急,OD没有将汇编代码正确的显示出来,需要我们自己手动的进行数据的反汇编解析:


选中地址0041DDAC处没有正确显示的数据,然后 右键 如图,选择 分析-->分析代码 即可正确显示了。


手动选择分析代码以后,地址0041DDAC处的数据的显示,是不是很有亲切感啊,令人熟悉的入口点汇编代码出现了,但是不要急,这才是第一步。


很自然的下一步就是使用OD的插件OllyDump进行程序的脱壳操作,但是这里对于这种壳这样直白的脱壳方式并不管用,需要使用Load PE结合RECImport工具进行完美脱壳。因为被FSG加壳的程序的IAT表不是连续的,脱壳工具不能智能的识别那些内存数据是函数的地址,因此需要我们自己手动的识别那些是函数的地址那些不是函数的地址,然后使用工具脱壳。


需要脱壳程序暂停在地址0041DDAC处,使用Load PE工具将其此时的内存PE镜像手动Dump出来(完全脱壳方式),如图。


注意,此时Dump出来的程序还不能运行,需要为该Dump程序正确的修复IAT表,它才能运行起来。

通过上面的调试,了解到程序的真实OEPRVA地址为001DDAC,使用RECImport工具进行该Dump程序的IAT表的修复。


1.常规的修复IAT表的方式:

RECImport工具的OEP处手动填写001DDAC,然后点击 IAT 自动搜索-->获取导入表-->修正转储


IAT表修复后的脱壳程序的运行,如图。

很显然,刚才的IAT表的修复没有修复成功,如果IAT表修复成功的话,运行脱壳后的程序就不会出现下面这个不友好的界面提示。


2.手动修复IAT表的方式:

遗憾啦,RECImport工具没用使用好,通过OD查看内存数据发现,RECImport工具对Dump后的程序的IAT的修复不完全。

RECImport工具中,IAT自动搜索到的程序的导入表的函数不完全。如图,函数导入表的起始RVA地址是000320BC,函数导入表的结束RVA地址是000320BC+200=000322BC也就导入表函数的个数是0x200,但是经过OD的观察发现,这两个参数有误。


回到OD调试程序中,在HEX数据区,Ctrl+G定位到地址00410000地址处,然后如图,设置数据的显示方式:长整型-->地址 显示方式。


OD数据视窗-地址显示方式视图:


经过手动拖动查找的方式,发现该被加壳程序的导入表的入口RVA地址应该是00032000 不是地址000320BC处,并且导入表的结束RVA地址是00032554,因此导入表函数的大小应该是32554 - 32000 = 554 个(十六进制)。

 

导入表的起始RVA地址:00032000.


导入表的结束RVA地址:00032554 ,因此导入表函数的大小应该是32554 - 32000 = 554 。


经过上面的分析和观察以后,如下图填写RECImport工具中需要的参数,然后直接点击 获取导入表 千万不要点 IAT自动获取 否则前功尽弃。


点击 显示无效的  函数发现,在获取到的导入表中的函数存在无效的函数地址,确实通过OD也发现了函数的地址不是连续的,有些函数之间是0x7FFFFFFF不是有效的函数地址。


由于0x7FFFFFFF不是有效的函数地址,因此需要去掉这些无效的函数地址。右键选择中这些无效的函数地址,然后如图选择 剪切指针 即可删除这些无效的函数地址。


Ok,现在就可以使用这些剩下的有效的IAT表的导出函数地址进行Dump程序的修正转储了,如图。


运行经过有效的IAT修复的程序的视图。


FSG脱壳分析文档的和脱壳后的程序的下载地址:http://download.csdn.net/detail/qq1084283172/8883891








Fly20141201
关注
专栏目录
简单脱壳教程笔记(6)---手FSG
oBuYiSeng的博客
03-19 2899
本笔记是针对ximo早期发的脱壳基础视频教程,整理的笔记。本笔记用到的工具下载地址: http://download.csdn.net/detail/obuyiseng/9465972 简介: FSG是一款压缩。 工具:ExeinfoPE或PEid、OD、LordPE、ImportREConstructor 脱壳文件:04.手FSG.rar 寻找OEP
脱壳之压缩-FSG
m0_60551756的博客
08-08 213
前言 因为FSG是压缩,所以脱壳时最应该尝试的是ESP定律,其次就是单步跟踪,这里入口点没有PUSHAD/PUSHFD指令,所以用单步跟踪寻找OEP,再者也可以尝试用API特征寻找OEP API特征: release版的VS2013的第一个API调用是:GetSystemTimeAsFileTime VC6.0的第一个API调用是:GetVersion Delphi的第一个API调用是:GetModuleHandleA 单步跟踪寻找OEP 1、OD加载程序后,单步观察堆栈变化 ..
FSG脱壳
ACdream
01-25 1286
在网上找几个unpackme来训练 FSG1.31的 先F12让程序暂停,然后使用SFX法 Ctrl+F2重启,然后F9! SFX脱壳大法好~ 这里就是OEP了,55 8B EC其实就是 在这里使用Ollydump就好~ 脱壳成功了哇~ FSG1.31属于简单(和UPX一样),可以使用F8大法脱壳,但是循环的嵌套层数比UPX多也更烦,在用
fsg脱壳
weixin_42539095的博客
12-25 447
前段时间学过一个fsg,复习一下,写成笔记 老规矩,先查一下 载入OD后直接来到下面 下断,运行后跳过去就是OEP dump 修复 发现只找到一个手动查找一下OD中输入 将如下位置的FFFFF及7FFFFF改成0,重新获取即可 再次查找 保存,完成 ...
FSG脱壳学习
華山劍派首席大弟子
09-10 628
fsg脱壳可采用:      1,超好用的esp定律法      2,单步跳转法 不过这两个方法值得注意的是,fsg比upx的oep更加的隐蔽。可能看不到大的跳转,会把跳转地址隐藏在寄存器单元中如ebx,esp等 OEP的查找并不难,主要是修复,和查找IAT *IAT*ImportAddressTableAddress导入地址表的地址 因为ImportREC自动查找的IAT
逆向脱壳-fsg手动脱壳
11-17 727
本文以2020湖湘杯第二道逆向为例,原题为无的exe文件: 首先对文件easyre.exe进行fsg,加版本为fsg2.0:工具链接为: 对加完fsg之后的程序进行查,显示为: 可以看出有许多地方发生了改变,最重要的就在于程序入口的改变,大家都知道fsg为压缩,原理就在于在程序原OEP之前或在程序之后加上一段数据,使得程序调用是通过压缩段数据进行转发的,不影响程序的正常运行。首先将压缩后的程序进行OD载入: 在载入之后一路F8单步步过运行,当遇到如上图所示,向上跳转的情况时
手动FSG实战的分析文档
07-09
手动FSG的详细的分析文档,该程序也是吾爱破解培训第一课作业3的分析和脱壳
FSG 1.33变形
04-07
可用于去程序的外,以便于反汇编!而且是自动脱壳,很容易上手的。你们可以下下来试下,如果有不明白的地方,可以在我的QQ空间留言! http://user.qzone.qq.com/49931409/infocenter?ptlang=2052
第二节,北斗的如何,nspack. ESP定律 FSG
weixin_43430906的博客
12-11 351
脱壳流程:1.OD加载 查看代码特征,找到JUM oep; 2.窗口跟随修改硬件断点byte;3.F9运行跳向OEP 4.lordpe dump文件 5. 修改IAI 完成脱壳 6.运行软件不报错 第一步:OD加载 查看入口代码特征,找到JUM OEP 注释好,回到入口 F7/F8 单步 右边ESP 变红 右键窗口跟随 第一个字节右键 下一个硬件访问断点 或者 在下面command...
万能脱壳机 能够ASPack FsG UPX
05-23
以下是关于"万能脱壳机"及其支持的几种类型——ASPack、FsG和UPX的详细知识讲解。 首先,ASPack是一种著名的文件压缩和加密工具,常用于减少可执行文件的大小,提高其加载速度。然而,由于其强大的混淆能力,...
全能脱壳
10-23
这个工具的工作原理,它的特征和编译器特征保存在HackFans.txt里面,能识别出来的,基本上都有对应的脱壳函数,用特征脱壳,可以脱壳,对于一些不好特殊的你可以用OEP侦测来脱壳,这要依赖编译器特征,你也可以自己添加编译器特征到HackFans.txt 对某些未知,可能能用未知脱壳选项搞定,它里面的原理也是用了编译器入口处信息. 修改历史: 1.对有IAT加密情况的,才进行IAT解密,避免了有时候不需要解密也去解密,导致后程序不能执行 2.支持文件拖拽功能 3.未知时,如果IAT加密了,请选上解密加密IAT项,进行IAT还原 下面是它能: upx 0.5x-3.00 aspack 1.x--2.x PEcompact 0.90--1.76 PEcompact 2.06--2.79 NsPack nPack FSG 1.0--1.3 v1.31 v1.33 v2.0 VGCrypt0.75 expressor 1.0--1.5 dxpack v0.86 v1.0 !Epack v1.0 v1.4 mew1.1 packMan 1.0 PEDiminisher 0.1 pex 0.99 petite v1.2 - v1.4 petite v2.2 petite v2.3 winkript 1.0 pklite32 1.1 pepack 0.99 - 1.0 pcshrinker 0.71 wwpack32 1.0 - 1.2 upack v0.10 - v0.32 upack v0.33 - v0.399 RLPack Basic Edition 1.11--1.18 exe32pack v1.42 kbys 0.22 0.28 morphine v1.3 morphine v1.6 morphine v2.7 yoda's protector v1.02 yoda's protector v1.03.2 yoda's crypt v1.2 yoda's crypt v1.3 EXE Stealth v2.72--v2.76 bjfnt v1.2 - v1.3 HidePE 1.0--1.1 jdpack v1.01 jdpack v2.0 jdpack v2.13 PEncrypt v3.1 PEncrypt v4.0 Stone's PE Crypt v1.13 telock v0.42 telock v0.51 telock v0.60 telock v0.70 telock v0.71 telock v0.80 telock v0.90 telock v0.92 telock v0.95 v0.96 v0.98 v0.99 ezip v1.0 hmimys-packer v1.0 jdprotect v0.9b lamecrypt UPolyX v0.51 StealthPE 1.01 StealthPE 2.2 depack 涛涛压缩器 polyene 0.01 DragonArmour EP Protector v0.3 闪电(expressor) BeRoEXEPacker PackItBitch 木马彩衣 mkfpack anti007 v2.5 v2.6 yzpack v1.1 v1.2 v2.0 spack_method1 v1.0 v1.1 v1.2 v1.21 spack_method2 v1.1 v1.2 v1.21 xj1001 xj1000 xj看雪测试版 xj1003 xpal4 仙剑-凄凉雪 仙剑-望海潮 mslrh0.31 v0.32 [G!X]'s Protect =================================================================
万能自动脱壳
11-07
自动脱壳,帮你完成破解之忧. upx 0.5x-3.00 aspack 1.x--2.x PEcompact 0.90--1.76 PEcompact 2.06--2.79 NsPack nPack FSG 1.0--1.3 v1.31 v1.33 v2.0 VGCrypt0.75 expressor 1.0--1.5 dxpack v0.86 v1.0 !Epack v1.0 v1.4 mew1.1 packMan 1.0 PEDiminisher 0.1 pex 0.99 petite v1.2 - v1.4 petite v2.2 petite v2.3 winkript 1.0 pklite32 1.1 pepack 0.99 - 1.0 pcshrinker 0.71 wwpack32 1.0 - 1.2 upack v0.10 - v0.32 upack v0.33 - v0.399 RLPack Basic Edition 1.11--1.18 exe32pack v1.42 kbys 0.22 0.28 morphine v1.3 //以下三,没有解决dump问题 morphine v1.6 morphine v2.7 yoda's protector v1.02 yoda's protector v1.03.2 yoda's crypt v1.2 yoda's crypt v1.3 EXE Stealth v2.72--v2.76 bjfnt v1.2 - v1.3 HidePE 1.0--1.1 jdpack v1.01 jdpack v2.0 jdpack v2.13 PEncrypt v3.1 PEncrypt v4.0 Stone's PE Crypt v1.13 telock v0.42 telock v0.51 telock v0.60 telock v0.70 telock v0.71 telock v0.80 telock v0.90 telock v0.92 telock v0.95 v0.96 v0.98 v0.99 ezip v1.0 hmimys-packer v1.0 jdprotect v0.9b lamecrypt UPolyX v0.51 StealthPE 1.01 StealthPE 2.2 depack 涛涛压缩器(跟kbys0.28一样) polyene 0.01 DragonArmour EP Protector v0.3 闪电(其实就是expressor) BeRoEXEPacker PackItBitch 木马彩衣 mkfpack anti007 v2.5 v2.6 yzpack v1.1 v1.2 v2.0 spack_method1 v1.0 v1.1 v1.2 v1.21 spack_method2 v1.1 v1.2 v1.21 xj1001 xj1000 xj看雪测试版 xj1003 xpal4 仙剑-凄凉雪 仙剑-望海潮 mslrh0.31 v0.32 [G!X]'s Protect(传说中的mslrh0.2??) ASPack 2.12 FsG2.x UPX1.x-2.x的
PESpin v1.32脱壳
01-28
PESpin v1.32脱壳机 和 脱壳脚本
详细分析FSG
leibso的博客
07-30 790
文章目录1 拿到当前加程序,用exeinfo/PeID 看一下信息2 使用LordPE 观察以下PE结构3 使用OD调试此程序尝试找OEP3.1 打开OD定位3.2 尝试找 OEP4 Dump5 修复IAT6 检测我们的脱壳之后的程序 1 拿到当前加程序,用exeinfo/PeID 看一下信息 可以看出是很老的FSG。 分析: ​ Entry Point : 000000154,熟悉P...
FSG 1.0
qq_40249811的博客
06-24 461
1. 加载有程序 2.找到 Loadlibrary 函数掉用处下断点,在第二个ret 向上数第二个就是 LoadLibrary,第一个是GetProcAddress 这段代码用于填充IAT 3 三次路过 Loadlibrary 函数掉后,去掉断点, 在GetProcAddress 上面第一个JE的函数处下断点 4.用行到断点处,向下找就是 函数入口 ...
FSG2.0 手动脱壳笔记
草原Song
07-06 2018
    为了逆向研究一款木马,给自己的马提供思路,需要脱壳。用PEID侦测,发现类型为FSG 2.0 -> bart/xt。试着了一下,ESP定律,内存镜像法都跑飞了。无奈只好单步跟踪了!这个很多朋友反应不好,有一定的难度,完之后的修复是关键!     用OD载入,00400154 >  8725 6CD34000   xchg    ds:[40D36C], esp  ;停在这里单步
脱壳笔记-手工FSG压缩
走在成长的路上
12-23 2487
详解手工FSG压缩
自己的脱壳过程(FSG2.0)
潜心学习
07-08 1481
在UPK论坛下了一个密界精华,其实没看到有特别牛的东西,但是适合我等菜鸟,决定先把里面的脱壳示例中的程序一次,积累经验。 在我的文里,我会尽量将每一步的缘由说清楚,但如果你是基本反汇编,PE格式都不知道的就。。了 到OEP的方法:因为是压缩,跳转到OEP的方法多半是用jmp等跳转指令,所以单步跟踪即可 过程: 一直单步直到这个地方,你会发现如果想在004001DC上F4,程序
脱壳系列_0_FSG_详细版
leibso的博客
07-31 514
1 查看信息 使用ExeInfoPe查看此程序 可以看出是很老的FSG。 分析: Entry Point : 000000154,熟悉PE结构的知道,入口点(代码)揉进PE头去了。 在WIN10 以来在(被限制了)PE 头中不能有执行代码,只有在WIN7 及其以前的机器上,此程序才能执行。所以用虚拟机来这个很老的,在目前(本人)win10...
评论 10
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值