自己的脱壳过程(FSG2.0)

最新推荐文章于 2020-11-17 09:34:27 发布
最新推荐文章于 2020-11-17 09:34:27 发布
阅读量1.4k 收藏
点赞数
分类专栏: 脱壳
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hades1996/article/details/9274817
版权
本文介绍了作者在UPK论坛中通过一个脱壳示例学习逆向工程的过程。首先,作者提到脱壳的关键在于找到OEP,通过单步跟踪,识别出call和jmp指令可能指向OEP。接着,作者通过改变程序流程验证了 jmp dword ptr [ebx+C] 是到达OEP的入口,并使用IR工具分析输入表,发现仅有少量函数,不符合正常程序的特征。为修复输入表,作者将第一条函数的RVA地址导入IR,并删除无效函数,最终成功保存并运行程序。
摘要由CSDN通过智能技术生成

(此系列脱文附件有兴趣才找我要吧,留言)

在UPK论坛下了一个密界精华,其实没看到有特别牛的东西,但是适合我等菜鸟,决定先把里面的脱壳示例中的程序脱一次,积累经验。

在我的脱文里,我会尽量将每一步的缘由说清楚,但如果你是基本反汇编,PE格式都不知道的就。。了


到OEP的方法:因为是压缩壳,跳转到OEP的方法多半是用jmp等跳转指令,所以单步跟踪即可

过程:

一直单步直到这个地方,你会发现如果想在004001DC上F4,程序会跑飞,所以到达OEP的代码一定在上面

而可能到达OEP的代码只可能是那个call和jmp,因为其他跳转指令都是近跳转。

改变程序流程使得call    dword ptr [ebx+14]执行,发现程序没跑飞,也就是说jmp     dword ptr [ebx+C]是到达OEP的地方

004001CA    8B07              mov     eax, dword ptr [edi]
004001CC    40                inc     eax
004001CD  ^ 78 F3             js      short 004001C2
004001CF    75 03             jnz     short 004001D4
004001D1    FF63 0C           jmp     dword ptr [ebx+C]
004001D4    50                push    eax
004001D5    55
最低0.47元/天 解锁文章
Hades1996
关注
专栏目录
FSG2.0 手动脱壳笔记
草原Song
07-06 2031
    为了逆向研究一款木马,给自己的马提供思路,需要脱壳。用PEID侦测,发现类型为FSG 2.0 -> bart/xt。试着脱了一下,ESP定律,内存镜像法都跑飞了。无奈只好单步跟踪了!这个壳很多朋友反应不好脱,有一定的难度,脱完之后的修复是关键!     用OD载入,00400154 >  8725 6CD34000   xchg    ds:[40D36C], esp  ;停在这里单步
手动脱壳-熊猫烧香病毒-FSG v2.0
Hades的博客
04-24 1891
手动脱壳-熊猫烧香病毒-FSG v2.0操作环境系统:Windows 7 32bit工具: Exeinfope,查壳        OllyDbg,动态调试,Dump内存        ImportREC,修复IATFSG壳简介FSG v2.0是一款超级压缩壳,经过加壳后会减小目标文件体积.这个壳会对源程序IAT做简单的处理.0x0 查壳使用ExeinfoPE查壳,熊猫烧香样本显示带有压缩壳FSG...
FSG 2.0脱壳
07-10
可以脱掉FSG 2.0 -> bart/xt的壳,脱壳这种事不保证100%好用,2分还算公道
FSG 2.0脱壳
weixin_33835103的博客
10-07 134
bingtangscm4.exe---脱壳 搞定脱壳1.用Ollydbg载入2.在 GetProcAddress 设置断点3.F9运行程序,ALT+F9返回004001D1 FF63 0C JMP DWORD PTR DS:[EBX+C]//这里下断点,然后F9运行,为什么在这里下断不懂,跟教程学的004001D4 50 ...
FSG2.0壳的脱壳方法
biyusr的专栏
01-06 634
FSG2.0为压缩壳 1.单步脱壳法。 2.第二个脱壳法就比较神奇了,是利用了调试选项中的sfx的功能。 2.1先把od的选项调试中的sfx选项选择“字节方式跟踪真正入口处(速度非常慢)” 重新加载程序。 2.2等程序加载完成后,重新来到od的选项调试中的sfx选项选择“停在自解压器的入口点” 点击确定,程序左下角就开始进行read和write操作,等程序暂停后就到达了OEP。...
FSG2.0脱壳机汉化版
09-05
FSG2.0脱壳机汉化版,很不错的工具,免OD脱壳,超级菜鸟都可以用的
脱壳入门(二)之FSG2.0压缩壳
w_g3366的博客
08-07 1050
脱壳入门(二)之FSG2.0压缩壳 一、环境和工具 Windows7+OllyDbg+PEID 二、寻找OEP 用PEID工具查壳 壳是FSG2.0压缩壳、链接器版本被隐藏了、区段也没名字、也不知到是什么语言编写的。 FSG2.0壳有一些特征,可以根据特征来寻找OEP 方法一:跳转到OEP代码: JMP DWORD PTR DS:[EBX+0xC] Ctrl+F搜索该条指令,F7单步一步跳...
FSG2.0脱壳记录
Cosmopolitan的博客
04-04 865
想要加壳文件的可以评论留言。。 1.现用PEId查一下壳,发现是FSG压缩壳 2.载入od,是fsg的入口特征 3.od往下到 jmp dword ptr:[ebx+0xc],下断点 4.F9 运行,执行到jmp,跳转到这里 5.到oep,删除模块分析 6.后面用LordPe dump,Import REC修复导入表,这里不再赘述。 ...
FSG脱壳
ACdream
01-25 1306
在网上找几个unpackme来训练 FSG1.31的壳 先F12让程序暂停,然后使用SFX法 Ctrl+F2重启,然后F9! SFX脱壳大法好~ 这里就是OEP了,55 8B EC其实就是 在这里使用Ollydump就好~ 脱壳成功了哇~ FSG1.31属于简单壳(和UPX一样),可以使用F8大法脱壳,但是循环的嵌套层数比UPX多也更烦,在用
fsg脱壳
weixin_42539095的博客
12-25 458
前段时间学过一个fsg的壳,复习一下,写成笔记 老规矩,先查一下壳 载入OD后直接来到下面 下断,运行后跳过去就是OEP dump 修复 发现只找到一个手动查找一下OD中输入 将如下位置的FFFFF及7FFFFF改成0,重新获取即可 再次查找 保存,完成 ...
FSG 2.0 plus(增强版)
06-21
FSG 2.0 plus(增强版),请勿用于非法用途
脱壳笔记-手工脱FSG压缩壳
走在成长的路上
12-23 2523
详解手工脱FSG压缩壳
详细分析脱FSG壳
leibso的博客
07-30 817
文章目录1 拿到当前加壳程序,用exeinfo/PeID 看一下信息2 使用LordPE 观察以下PE结构3 使用OD调试此程序尝试找OEP3.1 打开OD定位壳3.2 尝试找 OEP4 Dump5 修复IAT6 检测我们的脱壳之后的程序 1 拿到当前加壳程序,用exeinfo/PeID 看一下信息 可以看出是很老的壳FSG。 分析: ​ Entry Point : 000000154,熟悉P...
逆向脱壳-fsg手动脱壳
11-17 760
本文以2020湖湘杯第二道逆向为例,原题为无壳的exe文件: 首先对文件easyre.exe进行fsg加壳,加壳版本为fsg2.0:工具链接为: 对加完fsg壳之后的程序进行查壳,显示为: 可以看出有许多地方发生了改变,最重要的就在于程序入口的改变,大家都知道fsg为压缩壳,原理就在于在程序原OEP之前或在程序之后加上一段数据,使得程序调用是通过压缩段数据进行转发的,不影响程序的正常运行。首先将压缩后的程序进行OD载入: 在载入之后一路F8单步步过运行,当遇到如上图所示,向上跳转的情况时
fsg脱壳(手动)
weixin_45574485的博客
08-28 772
1.第一步,老规矩,查壳,可以很清楚的看到是fsg2.0的壳 2.用od打开带壳程序,结果如下所示 3.使用esp法,先f8两步,然后对esp下硬件断点,再f9运行到下图 4.根据对fsg壳的经验,我们在断点往上翻,发现一个jmp dword ptr ds:[ebx+0xC],这里过去就应该是oep了,在此处f2打断点,再取消硬件断点。f9,执行到断点。 5.f8跳转过去,一片灰色,ctr...
手动脱FSG壳实战
Fly20141201. 的专栏
07-09 4663
作者:Fly2015 对于FSG壳,之前没有接触过是第一次接触,这次拿来脱壳的程序仍然是吾爱破解论坛破解培训的作业3的程序。对于这个壳折腾了一会儿,后来还是被搞定了。   1.查壳 首先对该程序(吾爱破解培训第一课作业三.exe)进行查壳: 很遗憾,这次DIE也不行了,不过没事。 2.脱壳 OD载入该加壳的程序进行分析,下面是入口点的汇编代码:
自己的脱壳过程(FSG1.33)
潜心学习
07-08 1398
目标程序是VB写的,记得以前有一个巧方法到达OEP,但是忘记了,还是按部就班吧 单步跟踪到这个地方: 如果想要在xor ecx,ecx处F4的话程序会跑飞 00404BE7 AC lods byte ptr [esi] 00404BE8 84C0 test al, al 00404BEA ^ 75 FB
恶意代码分析实战Lab1——03 补:FSG脱壳
sxr__nc的博客
12-21 575
前边在做Lab1-03的时候检测壳的信息,显示是FSG壳,找了一下,发现之前的fsg脱壳笔记并没有发出来,再这里,再补一下,这个程序的脱壳过程: 0x01查壳信息 0x02开始脱壳 载入OD 按 Alt+M 在Text段下断点: F9运行: 听下来之后Alt+F9返回到用户代码: 接着F4 运行到大跳转处: F7 运行过去 就是OEP了(第一次运行到大田转的地方会显示跳转未实现,...
Oracle EBS FSG报表解决方案:精确、灵活与安全
FSG的实施旨在解决企业在报表制作过程中可能遇到的准确性、灵活性和效率问题。 2. 目标与分析: - 准确性:通过精确设定行和列的数据引用,降低手动输入错误,确保数据一致性。 - 灵活性:FSG允许用户灵活地调整...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值