恶意代码分析实战Lab1——03 补:FSG脱壳

最新推荐文章于 2024-03-24 11:31:30 发布
最新推荐文章于 2024-03-24 11:31:30 发布
阅读量543 收藏 2
点赞数
分类专栏: 恶意代码分析实战
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sxr__nc/article/details/103647328
版权

前边在做Lab1-03的时候检测壳的信息,显示是FSG壳,找了一下,发现之前的fsg脱壳笔记并没有发出来,再这里,再补一下,这个程序的脱壳过程:

0x01查壳信息

在这里插入图片描述

0x02开始脱壳

载入OD
在这里插入图片描述
按 Alt+M 在Text段下断点:
在这里插入图片描述
F9运行:
在这里插入图片描述
听下来之后Alt+F9返回到用户代码:
在这里插入图片描述
接着F4 运行到大跳转处:
在这里插入图片描述
F7 运行过去 就是OEP了(第一次运行到大田转的地方会显示跳转未实现,多F4几次直到跳转实现)
在这里插入图片描述
在这里直接dump,之后转储修正IAT表就好了

总结

和一般的FSG壳不一样,一般的Fsg壳进去之后,直接使用ESP定律就可以,找到OEP,dump出来之后,修正转出之后,还需要进行手动修复IAT表,这是因为,导入表的结构里边,结束标志是全0,Fsg壳在dump出来,用工具修复IAT之后失败是因为,这个壳在执行的过程中,把部分IAT表里边的结构中的无用数据进行了修改,无法识别,手动修复的方法是,直接到IAT的地址,去将数据异常的IAT表项手动修改为0,再次修复转储就行了

Psy_Hacker
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
恶意代码分析实战实验Lab 1-2 + Lab 1-3 + Lab 1-4
m0_37442062的博客
05-04 1283
Lab 1-2 问题 1.将Lab01-02.exe文件上传至http://www.VirusTotal.com/进行分析并查看报告。文件匹配到了已有的反病毒软件特征吗? 2.是否有这个文件被加壳或混淆的任何迹象?如何是这样,这些迹象是什么?如果该文件被加壳,请进行脱壳,如果可能的话。 PEID 通过EP段为UPX1和什么都没找到可以推断这个样本存在加壳的情况,使用linxerUnpacker工具脱壳,使用壳特征脱壳和OEP侦测脱壳均未成功,说明不是已知壳,点击未知壳脱壳,成功。 对于脱壳后的exe文
恶意代码分析实战 Lab1
baidu_41108490的博客
05-13 8559
Lab 1-11将Lab01-01.exe文件传上www.virustotal.com可以看到文件匹配到已有的反病毒软件特征,部分截图如下:可以看到,大部分匹配到了w32/Ramnit系列病毒特征2使用petool分别查看lab01-01.dll和lab01-01.exe的编译时间,截图如下:第一个是.exe第二个是.dll,可以看到两个文件的编译时间仅仅相差19秒.3看是否加壳最快的当然是用PE...
恶意代码分析实战lab1-3
weixin_51588494的博客
03-24 175
答:我没有从程序的导入函数中分析恶意代码的功能是什么。但在沙箱的动态调试,抓包中发现其访问了许多域名,且一些域名在国外。同时,其程序大小特别小只有5kb,字符串等检验工具都无法扫描出信息。如果是这样,这些迹象是什么?如果是,是哪些导入函数,它们会告诉你什。4.有哪些基于主机或基于网络的迹象,可以被用来确定被这个恶意代码所感染的机器?在网上找到了集成脱壳工具,覆盖的面还是挺广的。可以查看,计算机,时候有访问境外以及其他奇怪域名的流量行为。fsg1.0,也是比较基础的加壳,可以使用手动脱壳
FSG 2.0脱壳
07-10
可以脱掉FSG 2.0 -> bart/xt的壳,脱壳这种事不保证100%好用,2分还算公道
FSG脱壳
ACdream
01-25 1276
在网上找几个unpackme来训练 FSG1.31的壳 先F12让程序暂停,然后使用SFX法 Ctrl+F2重启,然后F9! SFX脱壳大法好~ 这里就是OEP了,55 8B EC其实就是 在这里使用Ollydump就好~ 脱壳成功了哇~ FSG1.31属于简单壳(和UPX一样),可以使用F8大法脱壳,但是循环的嵌套层数比UPX多也更烦,在用
fsg脱壳
weixin_42539095的博客
12-25 447
前段时间学过一个fsg的壳,复习一下,写成笔记 老规矩,先查一下壳 载入OD后直接来到下面 下断,运行后跳过去就是OEP dump 修复 发现只找到一个手动查找一下OD中输入 将如下位置的FFFFF及7FFFFF改成0,重新获取即可 再次查找 保存,完成 ...
fsg脱壳(手动)
weixin_45574485的博客
08-28 752
1.第一步,老规矩,查壳,可以很清楚的看到是fsg2.0的壳 2.用od打开带壳程序,结果如下所示 3.使用esp法,先f8两步,然后对esp下硬件断点,再f9运行到下图 4.根据对fsg壳的经验,我们在断点往上翻,发现一个jmp dword ptr ds:[ebx+0xC],这里过去就应该是oep了,在此处f2打断点,再取消硬件断点。f9,执行到断点。 5.f8跳转过去,一片灰色,ctr...
Lab 1-3
bangren3304的博客
01-07 214
Lab 1-3 Analyze the file Lab01-03.exe. Questions and Short Answers Upload the Lab01-03.exe file to http://www.VirusTotal.com/. Does it match any existing antivirus definitions? A: As of this wri...
升级Linux标准——LSB 3.0:LSB 3.0全新亮相.pdf
09-07
6. **行业支持**:FSG(Free Standards Group,自由标准组织)的成员不断增加,如CA公司等,这些企业为LSB的维护和发展提供了资源,确保了标准的质量和完整性。 7. **验证与认证**:Red Hat、Novell、Debian联盟和...
红黑脱壳机+FSG脱壳
最新发布
08-19
红黑脱壳机+FSG脱壳
手动脱FSG实战分析文档
07-09
手动脱FSG壳的详细的分析文档,该程序也是吾爱破解培训第一课作业3的分析脱壳
学习笔记-第一章 恶意代码分析实战
Yes_butter的博客
03-01 1336
第一章 从可执行文件提取有用信息的多种方法,包括以下技术: 1.使用反病毒软件来确认程序样本的恶意性; 2.使用哈希来识别恶意代码; 3.从文件的字符串列表,函数和文件头信息中发掘有用信息。 字符串包括 ASCII 和Unicode俩种编码 加壳 混淆之后的程序字符串可供打印的字符串会减少。 链接库与函数 通过导入表可以帮助我们了解链接那些代码库 1.6.2 常见的dll程序 K...
自己的脱壳过程(FSG1.33)
潜心学习
07-08 1378
目标程序是VB写的,记得以前有一个巧方法到达OEP,但是忘记了,还是按部就班吧 单步跟踪到这个地方: 如果想要在xor ecx,ecx处F4的话程序会跑飞 00404BE7 AC lods byte ptr [esi] 00404BE8 84C0 test al, al 00404BEA ^ 75 FB
FSG2.0脱壳记录
Cosmopolitan的博客
04-04 850
想要加壳文件的可以评论留言。。 1.现用PEId查一下壳,发现是FSG压缩壳 2.载入od,是fsg的入口特征 3.od往下到 jmp dword ptr:[ebx+0xc],下断点 4.F9 运行,执行到jmp,跳转到这里 5.到oep,删除模块分析 6.后面用LordPe dump,Import REC修复导入表,这里不再赘述。 ...
脱壳之压缩壳-FSG
m0_60551756的博客
08-08 206
前言 因为FSG是压缩壳,所以脱壳时最应该尝试的是ESP定律,其次就是单步跟踪,这里入口点没有PUSHAD/PUSHFD指令,所以用单步跟踪寻找OEP,再者也可以尝试用API特征寻找OEP API特征: release版的VS2013的第一个API调用是:GetSystemTimeAsFileTime VC6.0的第一个API调用是:GetVersion Delphi的第一个API调用是:GetModuleHandleA 单步跟踪寻找OEP 1、OD加载程序后,单步观察堆栈变化 ..
自己的脱壳过程(FSG2.0)
潜心学习
07-08 1476
在UPK论坛下了一个密界精华,其实没看到有特别牛的东西,但是适合我等菜鸟,决定先把里面的脱壳示例中的程序脱一次,积累经验。 在我的脱文里,我会尽量将每一步的缘由说清楚,但如果你是基本反汇编,PE格式都不知道的就。。了 到OEP的方法:因为是压缩壳,跳转到OEP的方法多半是用jmp等跳转指令,所以单步跟踪即可 过程: 一直单步直到这个地方,你会发现如果想在004001DC上F4,程序
逆向脱壳-fsg手动脱壳
11-17 708
本文以2020湖湘杯第二道逆向为例,原题为无壳的exe文件: 首先对文件easyre.exe进行fsg加壳,加壳版本为fsg2.0:工具链接为: 对加完fsg壳之后的程序进行查壳,显示为: 可以看出有许多地方发生了改变,最重要的就在于程序入口的改变,大家都知道fsg为压缩壳,原理就在于在程序原OEP之前或在程序之后加上一段数据,使得程序调用是通过压缩段数据进行转发的,不影响程序的正常运行。首先将压缩后的程序进行OD载入: 在载入之后一路F8单步步过运行,当遇到如上图所示,向上跳转的情况时
脱壳笔记-手工脱FSG压缩壳
走在成长的路上
12-23 2478
详解手工脱FSG压缩壳
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值