脱壳笔记-手工脱FSG压缩壳

最新推荐文章于 2021-08-08 19:25:58 发布
最新推荐文章于 2021-08-08 19:25:58 发布
阅读量2.4k 收藏 5
点赞数 3
分类专栏: 逆向工程 文章标签: FSG 压缩壳 脱壳
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_30145355/article/details/78877931
版权

壳:一段保护软件不被非法修改或反编译的程序,它会在附加在我们的代码之前,获得运行的权利,然后对程序进行修改。实现对软件的保护与压缩。

一、进行FSG压缩后的产生的效果

1、进行FSG压缩前后的效果图
FSG
FSG压缩前为34KB,压缩后为9KB。此时不用怀疑,这两个程序都能都正常运行。

2、使用PEID查壳
这里写图片描述
这里写图片描述
可以看到,TestFSG使用的是FSG v2.0进行的压缩

3、使用OD对比查看模块间的调用(右键->查找->所有模块间的调用)
这里写图片描述
这里写图片描述
进行FSG的压缩之后,我们看不到模块之间的调用了

4、使用LoadPE查看TestFSG.exe的输入表
这里写图片描述
此时输入表中只有两个API,它们就是FSG壳运行时所需要使用到的两个API。
FSG壳通过LoadLibrayA加载原始程序所需要使用的动态链接库,然后通过GetProcAddress获取原始程序所需要调用的API的地址,将原始的输入表还原到程序。
根据这样就实现了加载程序时对输入表的动态还原,所以我们第3点中看不到模块间的调用的原因。

既然FSG壳将我们的API进行了“隐藏”,那么我们要进行的脱壳就是要实现API的还原。

二、手工脱FSG壳

1、使用OD加载TestFSG
这里写图片描述
此时程序先运行的是FSG这个壳的代码,这段代码主要用于将原始的代码、数据进行解压还原的操作。
解压完成后,程序就会跑到我们原始的程序上运行。
此时我们就可以将原始程序dump(转储)下来,再进行一些修复,就完成了FSG的手动脱壳。

2、使用F8单步运行,如果遇到call直接往下运行,如果遇到往前面运行的jmp语句,直接点击jmp的下一条语句,按F4(运行到指定位置)往下运行。直到跑到该汇编指令处:
这里写图片描述
jnz语句用于最终判断FSG壳是否解压完成。如果没有解压完成,就跳转到004001D4的指令继续解压(循环解压);如果解压完成,继续往下执行0040001D1的jmp指令,使得程序跳转到原始程序的入口点运行。

3、在jmp处下断点(F2),F9运行到jmp处
这里写图片描述
在jmp处F7(单步步入)执行后,就跳转到了我们原是程序的入口点
这里写图片描述
此时并不能看到汇编代码,我们右键->分析->分析代码,此时就能显示了

4、使用LoadPE进行dump解压后的内存中的程序(注:如果无法在进程中找到使用OD打开的应用程序,使用管理员权限再运行下LoadPE)
这里写图片描述
右键->完整转存(dump full)
转存后的可执行文件:dumped.exe
这里写图片描述

双击dumped.exe,此时并不能正常运行!
这里写图片描述
这是正常情况,因为壳通常都会修改IAT(关于IAT的理解)。于是乎,程序虽然经过FSG的解压,进入到了程序的入口点,但是FSG壳在还原的时候,并没有完全的还原IAT(导入函数地址表)。
甚至其它的一些壳不会进行还原IAT,它仅仅是实现了一个自己能够识别的IAT,然后再程序运行的过程中,它自身进行动态的还原。

5、使用ImpREC选择脱壳的程序查看输入表函数信息(注:如果没有找到脱壳程序的话,同样使用管理员权限运行即可)
这里写图片描述
1)选择我们的脱壳进程TestFSG.exe(它这里自动转换成了小写testfsg.exe,不用介意)
2)填写我们OEP(程序入口点)的RVA值。
获取的方法一:手动计算,前面我们通过OD已经跳转到了OEP,地址为0040102D,00400000为基址,102D为OEP的RVA值。
获取的方法二:在OEP指令右键->用OllyDump脱壳调试进程->获取EIP作为OEP
这里写图片描述
3)点击“自动查找IAT”,再点击“获取输入表”,此时就能获取到输入表的函数信息了
4)点击“转储到文件”转储到先前的dumped.exe文件,会新形成一个dumped_.exe文件
这里写图片描述

到此,程序依旧不能运行,因为ImpREC仅仅帮我们修复了IAT中的一个dll,并没有完全的还原IAT

6、手动修复导入表(就是输入表)中的导入函数表信息(IAT Import address table)
1)在ImpREC获取一个导入函数的RVA值,在OD的内存地址窗口中跳转到RVA值
这里写图片描述
此时取第一个函数的RVA值:00009000
前面我们知道程序加载到内存中的基址为:00400000
所以函数在内存中地址为:00400000+00009000=00409000

2)在内存中”Ctrl+G”跳转到00409000地址处,再”右键->长型->地址”,就可显示出调用的API名字
这里写图片描述
首先我们得知道:每个Dll的导入函数地址表中根据0字节结尾!因为它们本身就是一个数组实现的。
而FSG虽然在应用程序加载的时候进行的动态还原,但是它并没有使得每个导入函数地址表中以0结尾,而我们要做的就是将不以0结尾了,使用二进制0填充

3)往下拉取到一个Dll的导入函数列表(IAT)末尾处
这里写图片描述
使用0填充后效果
这里写图片描述

4)然后将每个Dll的IAT末尾不为0的,都使用0字节填充,直到到导入表中的最后一个dll的IAT结束(通常为许多0字节结束的地方为结束位置,你也可以在结束的位置继续往下拉取,自行判断是否为结束)
这里写图片描述
至此,对IAT的修复已经完成。
记录最后结束为止的RVA值:9170
减去起始位置的RVA值,得出IAT的大小:9170-9000=170

5)再使用ImpREC手动填写IAT的起始RVA(9000),以及IAT的大小170,再进行转储dumped.exe就OK了
这里写图片描述
注:如果有显示无效的的输入表函数信息,直接右键->删除指针后再转储即可

本文难免有所错误,如有问题欢迎留言

_观众
关注
  • 3
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
自己的脱壳过程(FSG2.0)
潜心学习
07-08 1476
在UPK论坛下了一个密界精华,其实没看到有特别牛的东西,但是适合我等菜鸟,决定先把里面的脱壳示例中的程序一次,积累经验。 在我的文里,我会尽量将每一步的缘由说清楚,但如果你是基本反汇编,PE格式都不知道的就。。了 到OEP的方法:因为是压缩,跳转到OEP的方法多半是用jmp等跳转指令,所以单步跟踪即可 过程: 一直单步直到这个地方,你会发现如果想在004001DC上F4,程序
简单脱壳教程笔记(6)---手FSG
oBuYiSeng的博客
03-19 2813
笔记是针对ximo早期发的脱壳基础视频教程,整理的笔记。本笔记用到的工具下载地址: http://download.csdn.net/detail/obuyiseng/9465972 简介: FSG是一款压缩。 工具:ExeinfoPE或PEid、OD、LordPE、ImportREConstructor 脱壳文件:04.手FSG.rar 寻找OEP
手工脱壳FSG压缩-IAT表修复
baochi8399的博客
07-19 337
目录 一、工具及介绍 二、脱壳 2.1、单步跟踪脱壳 2.2、IAT修复 三、程序脱壳后运行截图 四、个人总结 五、附件 一、工具及介绍 使用工具:Ollydbg、PEID、ImportR...
fsg脱壳(手动)
weixin_45574485的博客
08-28 752
1.第一步,老规矩,查,可以很清楚的看到是fsg2.0的 2.用od打开带程序,结果如下所示 3.使用esp法,先f8两步,然后对esp下硬件断点,再f9运行到下图 4.根据对fsg的经验,我们在断点往上翻,发现一个jmp dword ptr ds:[ebx+0xC],这里过去就应该是oep了,在此处f2打断点,再取消硬件断点。f9,执行到断点。 5.f8跳转过去,一片灰色,ctr...
详细分析FSG
leibso的博客
07-30 775
文章目录1 拿到当前加程序,用exeinfo/PeID 看一下信息2 使用LordPE 观察以下PE结构3 使用OD调试此程序尝试找OEP3.1 打开OD定位3.2 尝试找 OEP4 Dump5 修复IAT6 检测我们的脱壳之后的程序 1 拿到当前加程序,用exeinfo/PeID 看一下信息 可以看出是很老的FSG。 分析: ​ Entry Point : 000000154,熟悉P...
fsg脱壳
weixin_42539095的博客
12-25 447
前段时间学过一个fsg,复习一下,写成笔记 老规矩,先查一下 载入OD后直接来到下面 下断,运行后跳过去就是OEP dump 修复 发现只找到一个手动查找一下OD中输入 将如下位置的FFFFF及7FFFFF改成0,重新获取即可 再次查找 保存,完成 ...
FSG脱壳
ACdream
01-25 1276
在网上找几个unpackme来训练 FSG1.31的 先F12让程序暂停,然后使用SFX法 Ctrl+F2重启,然后F9! SFX脱壳大法好~ 这里就是OEP了,55 8B EC其实就是 在这里使用Ollydump就好~ 脱壳成功了哇~ FSG1.31属于简单(和UPX一样),可以使用F8大法脱壳,但是循环的嵌套层数比UPX多也更烦,在用
脱壳压缩-FSG
m0_60551756的博客
08-08 206
前言 因为FSG压缩,所以脱壳时最应该尝试的是ESP定律,其次就是单步跟踪,这里入口点没有PUSHAD/PUSHFD指令,所以用单步跟踪寻找OEP,再者也可以尝试用API特征寻找OEP API特征: release版的VS2013的第一个API调用是:GetSystemTimeAsFileTime VC6.0的第一个API调用是:GetVersion Delphi的第一个API调用是:GetModuleHandleA 单步跟踪寻找OEP 1、OD加载程序后,单步观察堆栈变化 ..
万能脱壳机 能够ASPack FsG UPX
05-23
以下是关于"万能脱壳机"及其支持的几种类型——ASPack、FsG和UPX的详细知识讲解。 首先,ASPack是一种著名的文件压缩和加密工具,常用于减少可执行文件的大小,提高其加载速度。然而,由于其强大的混淆能力,...
手动FSG实战的分析文档
07-09
手动FSG的详细的分析文档,该程序也是吾爱破解培训第一课作业3的分析和脱壳
FSG 2.0脱壳
07-10
可以FSG 2.0 -> bart/xt的脱壳这种事不保证100%好用,2分还算公道
FSG专门针对Exe与dll的加 防报毒 防破解
03-30
FSG专门针对Exe与dll的加 防报毒 防破解FSG专门针对Exe与dll的加 防报毒 防破解
全能脱壳
10-23
这个工具的工作原理,它的特征和编译器特征保存在HackFans.txt里面,能识别出来的,基本上都有对应的脱壳函数,用特征脱壳,可以脱壳,对于一些不好特殊的你可以用OEP侦测来脱壳,这要依赖编译器特征,你也可以自己添加编译器特征到HackFans.txt 对某些未知,可能能用未知脱壳选项搞定,它里面的原理也是用了编译器入口处信息. 修改历史: 1.对有IAT加密情况的,才进行IAT解密,避免了有时候不需要解密也去解密,导致后程序不能执行 2.支持文件拖拽功能 3.未知时,如果IAT加密了,请选上解密加密IAT项,进行IAT还原 下面是它能: upx 0.5x-3.00 aspack 1.x--2.x PEcompact 0.90--1.76 PEcompact 2.06--2.79 NsPack nPack FSG 1.0--1.3 v1.31 v1.33 v2.0 VGCrypt0.75 expressor 1.0--1.5 dxpack v0.86 v1.0 !Epack v1.0 v1.4 mew1.1 packMan 1.0 PEDiminisher 0.1 pex 0.99 petite v1.2 - v1.4 petite v2.2 petite v2.3 winkript 1.0 pklite32 1.1 pepack 0.99 - 1.0 pcshrinker 0.71 wwpack32 1.0 - 1.2 upack v0.10 - v0.32 upack v0.33 - v0.399 RLPack Basic Edition 1.11--1.18 exe32pack v1.42 kbys 0.22 0.28 morphine v1.3 morphine v1.6 morphine v2.7 yoda's protector v1.02 yoda's protector v1.03.2 yoda's crypt v1.2 yoda's crypt v1.3 EXE Stealth v2.72--v2.76 bjfnt v1.2 - v1.3 HidePE 1.0--1.1 jdpack v1.01 jdpack v2.0 jdpack v2.13 PEncrypt v3.1 PEncrypt v4.0 Stone's PE Crypt v1.13 telock v0.42 telock v0.51 telock v0.60 telock v0.70 telock v0.71 telock v0.80 telock v0.90 telock v0.92 telock v0.95 v0.96 v0.98 v0.99 ezip v1.0 hmimys-packer v1.0 jdprotect v0.9b lamecrypt UPolyX v0.51 StealthPE 1.01 StealthPE 2.2 depack 涛涛压缩器 polyene 0.01 DragonArmour EP Protector v0.3 闪电(expressor) BeRoEXEPacker PackItBitch 木马彩衣 mkfpack anti007 v2.5 v2.6 yzpack v1.1 v1.2 v2.0 spack_method1 v1.0 v1.1 v1.2 v1.21 spack_method2 v1.1 v1.2 v1.21 xj1001 xj1000 xj看雪测试版 xj1003 xpal4 仙剑-凄凉雪 仙剑-望海潮 mslrh0.31 v0.32 [G!X]'s Protect =================================================================
手动脱壳-熊猫烧香病毒-FSG v2.0
Hades的博客
04-24 1828
手动脱壳-熊猫烧香病毒-FSG v2.0操作环境系统:Windows 7 32bit工具: Exeinfope,查        OllyDbg,动态调试,Dump内存        ImportREC,修复IATFSG简介FSG v2.0是一款超级压缩,经过加后会减小目标文件体积.这个会对源程序IAT做简单的处理.0x0 查使用ExeinfoPE查,熊猫烧香样本显示带有压缩FSG...
手动FSG实战
Fly20141201. 的专栏
07-09 4630
作者:Fly2015 对于FSG,之前没有接触过是第一次接触,这次拿来脱壳的程序仍然是吾爱破解论坛破解培训的作业3的程序。对于这个折腾了一会儿,后来还是被搞定了。   1.查 首先对该程序(吾爱破解培训第一课作业三.exe)进行查: 很遗憾,这次DIE也不行了,不过没事。 2.脱壳 OD载入该加的程序进行分析,下面是入口点的汇编代码:
逆向脱壳-fsg手动脱壳
11-17 708
本文以2020湖湘杯第二道逆向为例,原题为无的exe文件: 首先对文件easyre.exe进行fsg,加版本为fsg2.0:工具链接为: 对加完fsg之后的程序进行查,显示为: 可以看出有许多地方发生了改变,最重要的就在于程序入口的改变,大家都知道fsg压缩,原理就在于在程序原OEP之前或在程序之后加上一段数据,使得程序调用是通过压缩段数据进行转发的,不影响程序的正常运行。首先将压缩后的程序进行OD载入: 在载入之后一路F8单步步过运行,当遇到如上图所示,向上跳转的情况时
自己的脱壳过程(FSG1.33)
潜心学习
07-08 1378
目标程序是VB写的,记得以前有一个巧方法到达OEP,但是忘记了,还是按部就班吧 单步跟踪到这个地方: 如果想要在xor ecx,ecx处F4的话程序会跑飞 00404BE7 AC lods byte ptr [esi] 00404BE8 84C0 test al, al 00404BEA ^ 75 FB
FSG2.0脱壳记录
Cosmopolitan的博客
04-04 850
想要加文件的可以评论留言。。 1.现用PEId查一下,发现是FSG压缩 2.载入od,是fsg的入口特征 3.od往下到 jmp dword ptr:[ebx+0xc],下断点 4.F9 运行,执行到jmp,跳转到这里 5.到oep,删除模块分析 6.后面用LordPe dump,Import REC修复导入表,这里不再赘述。 ...
FSG教程:Oracle财务报表生成器的强大组件与功能详解
FSG-教材深入讲解了Oracle General Ledger中的FSG(财务报表生成器)技术,这是一套强大的报表构建工具,特别适合于生成诸如损益表和资产负债表等财务报表。该教材共分为十个主要部分: 1. **报表组件**:首先介绍...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值