脱壳系列_0_FSG壳_详细版

最新推荐文章于 2019-08-28 17:38:34 发布
最新推荐文章于 2019-08-28 17:38:34 发布
阅读量514 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37175419/article/details/102865162
版权

1 查看信息

  • 使用ExeInfoPe查看此壳程序

  • 可以看出是很老的FSG壳。

分析:

Entry Point : 000000154,熟悉PE结构的知道,入口点(代码)揉进PE头去了。

在WIN10 以来在(被限制了)PE 头中不能有执行代码,只有在WIN7 及其以前的机器上,此程序才能执行。所以用虚拟机来脱这个很老的壳,在目前(本人)win10的机器上无法运行。

2 使用LordPE 观察以下PE结构

  • 点击查看区段 信息:

  • 分析:

发现区段有两个,都把区段名抹去了;且第一个区段的虚拟大小虽然0x17000 但是实际大小(文件中的大小)是0

3 使用OD调试此程序尝试找OEP

3.1 打开OD定位壳

  • 用Nop 破坏花指令使得反汇编正确解析后,添加注释、标签 - "FSG壳"

分析: 我们发现一进来,壳早就准备好了全部寄存器数据在地址0x4219D8的位置,把当前位置保存环境的地址放到当前的ESP寄存器,那就能POP栈操作,操作壳保存好的数据了。为啥我们看不到它之前的操作? 之后写壳的时候再分析

3.2 尝试找 OEP

  • 单步运行
  • 遇到第一个call (字符操作核心部分)

0x000400160:

CALL DWORD PTR DS:[EBX]
;此时EBX是 0x4219dc --- [EBX]:是0x4001e8

进入 0x4001e8:

结合 call 的下一句 大致理解这个算法

分析:

这个字符串拷贝的算法,(浅淡的观测下)不可逆的拷贝,而且信息不全,所以可能不重要。

我们可以先忽略这个拷贝循环 -----》 跳过这个拷贝算法: 我们在后面的每个 jmp/call 鼠标点过去一下看会不会跳回去之类的,直到找到了。

或者你安装了高亮插件(asmHighLight.dll):由于我们分析出这个拷贝的核心调用函数是 地址为 0x400160 这句opcode,那鼠标点在上面查看后面在哪里没有该高亮色,就大致找一下就能跳过这个算法部分了。

 

然后我们在壳代码后面部分找到了最后一个高亮。其实这个无条件跳转流这就是我们这个算法部分的最后一句了。

  • 跳出字符串拷贝算法之后,我们发现代码只有10来行了。直接断点关键的跳转行,我们直接找OEP。

 

  • 然后我们发现跳转到 OEP的是这一句:

4 Dump

  • 进入入口函数后,我们点几个跳转点数据等 并没有发现有异常数据(异常数据)等。直接使用OD提供的插件ollyDump ,dump到本地。

 

 

分析:

         观察其实地址 、入口点这些 头没有错。如果没有就点击脱壳

5 修复IAT

  • 这里使用impREC 来修复IAT

 

我们发现这里查找出来的IAT信息不完全,那就需要观察IAT表是否有异常了。

分析:

          通过这里找到的函数偏移,可以迅速定位到IAT表。

 

比如这里的rva为B000。那么再虚拟空间中的地址就是40B000,在OD中观察如下:

  • 我们向下滑动,发现:

这两个异常值阻止了impREC的解析:我们该为正常的0000000间隔:

 

我们修改后再次用impREC解析 得到的IAT表目前来看貌似完成了

  • 最后点击修复转储到我们刚才用OD,dump出来的的程序

 

6 检测我们的脱壳之后的程序

 

yes!!!

 

---恢复内容结束---

leibso
关注
脱壳之压缩-FSG
m0_60551756的博客
08-08 209
前言 因为FSG是压缩,所以脱壳时最应该尝试的是ESP定律,其次就是单步跟踪,这里入口点没有PUSHAD/PUSHFD指令,所以用单步跟踪寻找OEP,再者也可以尝试用API特征寻找OEP API特征: release的VS2013的第一个API调用是:GetSystemTimeAsFileTime VC6.0的第一个API调用是:GetVersion Delphi的第一个API调用是:GetModuleHandleA 单步跟踪寻找OEP 1、OD加载程序后,单步观察堆栈变化 ..
第二节,北斗的如何脱,nspack. ESP定律 FSG
weixin_43430906的博客
12-11 351
脱壳流程:1.OD加载 查看代码特征,找到JUM oep; 2.窗口跟随修改硬件断点byte;3.F9运行跳向OEP 4.lordpe dump文件 5. 修改IAI 完成脱壳 6.运行软件不报错 第一步:OD加载 查看入口代码特征,找到JUM OEP 注释好,回到入口 F7/F8 单步 右边ESP 变红 右键窗口跟随 第一个字节右键 下一个硬件访问断点 或者 在下面command...
手动脱FSG实战
Fly20141201. 的专栏
07-09 4630
作者:Fly2015 对于FSG,之前没有接触过是第一次接触,这次拿来脱壳的程序仍然是吾爱破解论坛破解培训的作业3的程序。对于这个折腾了一会儿,后来还是被搞定了。   1.查 首先对该程序(吾爱破解培训第一课作业三.exe)进行查: 很遗憾,这次DIE也不行了,不过没事。 2.脱壳 OD载入该加的程序进行分析,下面是入口点的汇编代码:
FSG脱壳
ACdream
01-25 1282
在网上找几个unpackme来训练 FSG1.31的 先F12让程序暂停,然后使用SFX法 Ctrl+F2重启,然后F9! SFX脱壳大法好~ 这里就是OEP了,55 8B EC其实就是 在这里使用Ollydump就好~ 脱壳成功了哇~ FSG1.31属于简单(和UPX一样),可以使用F8大法脱壳,但是循环的嵌套层数比UPX多也更烦,在用
手脱 FSG 1.0
qq_40249811的博客
06-24 461
1. 加载有程序 2.找到 Loadlibrary 函数掉用处下断点,在第二个ret 向上数第二个就是 LoadLibrary,第一个是GetProcAddress 这段代码用于填充IAT 3 三次路过 Loadlibrary 函数掉后,去掉断点, 在GetProcAddress 上面第一个JE的函数处下断点 4.用行到断点处,向下找就是 函数入口 ...
FSG 2.0脱壳
08-10
FSG 2.0脱壳机,自动去掉FSG2.0的
万能脱壳
07-24
万能脱壳机可以处理这个系列,意味着它可以穿透 FsG 的复杂保护层,揭示原始的可执行文件内容。 3. **UPX1.x-2.x**:UPX(Ultimate Packer for eXecutables)是另一个广泛应用的开源加工具,它的特点是轻量级...
自己的脱壳过程(FSG2.0)
潜心学习
07-08 1478
在UPK论坛下了一个密界精华,其实没看到有特别牛的东西,但是适合我等菜鸟,决定先把里面的脱壳示例中的程序脱一次,积累经验。 在我的脱文里,我会尽量将每一步的缘由说清楚,但如果你是基本反汇编,PE格式都不知道的就。。了 到OEP的方法:因为是压缩,跳转到OEP的方法多半是用jmp等跳转指令,所以单步跟踪即可 过程: 一直单步直到这个地方,你会发现如果想在004001DC上F4,程序
视频笔记-吾爱破解ximo脱壳视频1~10
I have a dream
04-01 1401
总结归纳一下脱壳的几种方法: 1、单步跟踪法: 即F8一直运行下去,直到找到OEP 向下的跳转可以进行,向上的跳转不能进行 2、ESP定律法: 利用堆栈平衡原理,找到OEP 适用于:大部分的。例如:UPX、ASPACK、NSPACK、FSG、PECompact、EZIP、EXE32PACK等 3、一步直达法: 利用...
常见加软件 及脱壳工具
热门推荐
蜂刺
11-03 1万+
1.程序编写语言: 常见的程序制作语言有: Borland Delphi 6.0 - 7.0 Microsoft Visual C++ 6.0 Microsoft Visual Basic 5.0 / 6.0 还有汇编、易语言等。 很多软件都通过加保护来提高软件的破解难度,下面我们简单的介绍一下加工具。 一些脱壳工具:http://down.52pojie.cn/Tools/Unpa
FSG2.0脱壳机汉化
09-05
FSG2.0脱壳机汉化,很不错的工具,免OD脱壳,超级菜鸟都可以用的
全能脱壳
10-23
这个工具的工作原理,它的特征和编译器特征保存在HackFans.txt里面,能识别出来的,基本上都有对应的脱壳函数,用特征脱壳,可以脱壳,对于一些不好特殊的你可以用OEP侦测来脱壳,这要依赖编译器特征,你也可以自己添加编译器特征到HackFans.txt 对某些未知,可能能用未知脱壳选项搞定,它里面的原理也是用了编译器入口处信息. 修改历史: 1.对有IAT加密情况的,才进行IAT解密,避免了有时候不需要解密也去解密,导致脱后程序不能执行 2.支持文件拖拽功能 3.脱未知时,如果IAT加密了,请选上解密加密IAT项,进行IAT还原 下面是它能脱的: upx 0.5x-3.00 aspack 1.x--2.x PEcompact 0.90--1.76 PEcompact 2.06--2.79 NsPack nPack FSG 1.0--1.3 v1.31 v1.33 v2.0 VGCrypt0.75 expressor 1.0--1.5 dxpack v0.86 v1.0 !Epack v1.0 v1.4 mew1.1 packMan 1.0 PEDiminisher 0.1 pex 0.99 petite v1.2 - v1.4 petite v2.2 petite v2.3 winkript 1.0 pklite32 1.1 pepack 0.99 - 1.0 pcshrinker 0.71 wwpack32 1.0 - 1.2 upack v0.10 - v0.32 upack v0.33 - v0.399 RLPack Basic Edition 1.11--1.18 exe32pack v1.42 kbys 0.22 0.28 morphine v1.3 morphine v1.6 morphine v2.7 yoda's protector v1.02 yoda's protector v1.03.2 yoda's crypt v1.2 yoda's crypt v1.3 EXE Stealth v2.72--v2.76 bjfnt v1.2 - v1.3 HidePE 1.0--1.1 jdpack v1.01 jdpack v2.0 jdpack v2.13 PEncrypt v3.1 PEncrypt v4.0 Stone's PE Crypt v1.13 telock v0.42 telock v0.51 telock v0.60 telock v0.70 telock v0.71 telock v0.80 telock v0.90 telock v0.92 telock v0.95 v0.96 v0.98 v0.99 ezip v1.0 hmimys-packer v1.0 jdprotect v0.9b lamecrypt UPolyX v0.51 StealthPE 1.01 StealthPE 2.2 depack 涛涛压缩器 polyene 0.01 DragonArmour EP Protector v0.3 闪电(expressor) BeRoEXEPacker PackItBitch 木马彩衣 mkfpack anti007 v2.5 v2.6 yzpack v1.1 v1.2 v2.0 spack_method1 v1.0 v1.1 v1.2 v1.21 spack_method2 v1.1 v1.2 v1.21 xj1001 xj1000 xj看雪测试 xj1003 xpal4 仙剑-凄凉雪 仙剑-望海潮 mslrh0.31 v0.32 [G!X]'s Protect =================================================================
手工脱壳FSG压缩-IAT表修复
baochi8399的博客
07-19 339
目录 一、工具及介绍 二、脱壳 2.1、单步跟踪脱壳 2.2、IAT修复 三、程序脱壳后运行截图 四、个人总结 五、附件 一、工具及介绍 使用工具:Ollydbg、PEID、ImportR...
简单脱壳教程笔记(6)---手脱FSG
oBuYiSeng的博客
03-19 2857
本笔记是针对ximo早期发的脱壳基础视频教程,整理的笔记。本笔记用到的工具下载地址: http://download.csdn.net/detail/obuyiseng/9465972 简介: FSG是一款压缩。 工具:ExeinfoPE或PEid、OD、LordPE、ImportREConstructor 脱壳文件:04.手脱FSG.rar 寻找OEP
手工脱壳FSG压缩【IAT反修复】
aihan8042的博客
03-19 212
一、工具及介绍 使用工具:Ollydbg,PEID,ImportREC,LoadPE FSG 2.0: 二、脱壳 1、追踪 修复IAT表代码 入口处,没有pushad特征,无法使用ESP定律。 查看导入表信息。 推测利用LoadLibrary 和 GetProcAddress ...
FSG脱壳学习
華山劍派首席大弟子
09-10 628
fsg脱壳可采用:      1,超好用的esp定律法      2,单步跳转法 不过这两个方法值得注意的是,fsg比upx的oep更加的隐蔽。可能看不到大的跳转,会把跳转地址隐藏在寄存器单元中如ebx,esp等 OEP的查找并不难,主要是修复,和查找IAT *IAT*ImportAddressTableAddress导入地址表的地址 因为ImportREC自动查找的IAT
fsg脱壳(手动)
weixin_45574485的博客
08-28 754
1.第一步,老规矩,查,可以很清楚的看到是fsg2.0的 2.用od打开带程序,结果如下所示 3.使用esp法,先f8两步,然后对esp下硬件断点,再f9运行到下图 4.根据对fsg的经验,我们在断点往上翻,发现一个jmp dword ptr ds:[ebx+0xC],这里过去就应该是oep了,在此处f2打断点,再取消硬件断点。f9,执行到断点。 5.f8跳转过去,一片灰色,ctr...
脱壳笔记-手工脱FSG压缩
走在成长的路上
12-23 2482
详解手工脱FSG压缩
Oracle GL_training:创建自定义财务报表指南
教程涵盖了从基础的日记帐分录到复杂的财务报表生成等多个方面,包括生成日记帐、创建汇总查询以及构建基本的FSG报表等内容。" 在Oracle GL_training中,自定义财务报表的创建过程分为四个步骤: 1. **定义行集**...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值