自己的脱壳过程(FSG1.33)

最新推荐文章于 2021-08-08 19:25:58 发布
最新推荐文章于 2021-08-08 19:25:58 发布
阅读量1.3k 收藏
点赞数
分类专栏: 脱壳
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hades1996/article/details/9275071
版权
本文介绍了如何分析一个用VB编写的程序,通过单步跟踪找到执行入口点(OEP)。在调试过程中,作者发现了在特定指令处的跳跃行为,识别出一个大范围跳转指令作为关键线索,从而确定了程序的OEP。
摘要由CSDN通过智能技术生成

目标程序是VB写的,记得以前有一个巧方法到达OEP,但是忘记了,还是按部就班吧

单步跟踪到这个地方:

如果想要在xor ecx,ecx处F4的话程序会跑飞,在这里

在这里可以注意到00404BEE处的je是一个很大的跳转,而其他地方都走过发现全部都不会到OEP,所以就是他了

00404BE7    AC         lods    byte ptr [esi]
00404BE8    84C0            test    al, al
00404BEA  ^ 75 FB           jnz     short 00404BE7
00404BEC    FE0E            dec     byte ptr [esi]
00404BEE  ^ 74 F0      je      short 00404BE0
00404BF0    79 05           jns     short 00404BF7
00404BF2    46              inc     esi
00404BF3    AD              lods    dword ptr [esi]
00404BF4    50              push    eax
00404BF5    EB 09           jmp     short 00404C00
00404BF7    FE0E            dec     byte ptr [esi]
00404BF9  - 0F84 61C5FFFF   je      00401160
00404BFF    56              push    esi
00404C00    55              push    ebp
00404C01    FF53 04
最低0.47元/天 解锁文章
Hades1996
关注
专栏目录
FSG 2.0脱壳机
07-10
可以脱掉FSG 2.0 -> bart/xt的壳,脱壳这种事不保证100%好用,2分还算公道
手脱FSG v1.33
weixin_30706507的博客
11-15 123
1.载入PEID FSG v1.33 (Eng) -> dulek/xt 2.载入OD,先F8跟一会 004103E3 > BE A4014000 mov esi,fsg1_33.004001A4 ; //程序入口 004103E8 AD lods dword ptr ds:[esi] 004103E9 ...
fsg脱壳
weixin_42539095的博客
12-25 447
前段时间学过一个fsg的壳,复习一下,写成笔记 老规矩,先查一下壳 载入OD后直接来到下面 下断,运行后跳过去就是OEP dump 修复 发现只找到一个手动查找一下OD中输入 将如下位置的FFFFF及7FFFFF改成0,重新获取即可 再次查找 保存,完成 ...
fsg脱壳(手动)
weixin_45574485的博客
08-28 754
1.第一步,老规矩,查壳,可以很清楚的看到是fsg2.0的壳 2.用od打开带壳程序,结果如下所示 3.使用esp法,先f8两步,然后对esp下硬件断点,再f9运行到下图 4.根据对fsg壳的经验,我们在断点往上翻,发现一个jmp dword ptr ds:[ebx+0xC],这里过去就应该是oep了,在此处f2打断点,再取消硬件断点。f9,执行到断点。 5.f8跳转过去,一片灰色,ctr...
FSG脱壳
ACdream
01-25 1285
在网上找几个unpackme来训练 FSG1.31的壳 先F12让程序暂停,然后使用SFX法 Ctrl+F2重启,然后F9! SFX脱壳大法好~ 这里就是OEP了,55 8B EC其实就是 在这里使用Ollydump就好~ 脱壳成功了哇~ FSG1.31属于简单壳(和UPX一样),可以使用F8大法脱壳,但是循环的嵌套层数比UPX多也更烦,在用
脱FSG 1.33变形壳
04-07
可用于脱去程序的外壳,以便于反汇编!而且是自动脱壳,很容易上手的。你们可以下下来试下,如果有不明白的地方,可以在我的QQ空间留言! http://user.qzone.qq.com/49931409/infocenter?ptlang=2052
全能脱壳机
10-23
它的壳特征和编译器特征保存在HackFans.txt里面,能识别出来的壳,基本上都有对应的脱壳函数,用壳特征脱壳,可以脱壳,对于一些不好特殊的壳你可以用OEP侦测来脱壳,这要依赖编译器特征,你也可以自己添加编译器特征到...
通用脱壳工具
04-18
FSG 1.33、2.0、fsg2.0bart、fsg2.0dulek GHF Protector v1.0(支持,但效果不是很好) Krypton 0.2、0.3、0.4、0.5(For ALL 支持,但效果不是很好) Hmimys Packer UnKown JDProtect 0.9、1.01、2.0 KByS unknow ...
最新最好用的脱壳机80%都可以脱
01-28
fsg v1.0 v1.1 v1.2 v1.3 v1.31 v1.33 v2.0 All Version vgcrypt v0.75 nspack 1.4--4.1 All Version expressor v1.0 v1.1 v1.2 v1.3 v1.4 v1.501 npack v1.5 v2.5 v3.0 dxpack v0.86 v1.0 !epack v1.0 !...
手动脱FSG壳实战的分析文档
07-09
手动脱FSG壳的详细的分析文档,该程序也是吾爱破解培训第一课作业3的分析和脱壳
PEiD软件分析
08-03
PEiD软件分析,静态编辑
FSG2.0脱壳记录
Cosmopolitan的博客
04-04 853
想要加壳文件的可以评论留言。。 1.现用PEId查一下壳,发现是FSG压缩壳 2.载入od,是fsg的入口特征 3.od往下到 jmp dword ptr:[ebx+0xc],下断点 4.F9 运行,执行到jmp,跳转到这里 5.到oep,删除模块分析 6.后面用LordPe dump,Import REC修复导入表,这里不再赘述。 ...
恶意代码分析实战Lab1——03 补:FSG脱壳
sxr__nc的博客
12-21 558
前边在Lab1-03的时候检测壳的信息,显示是FSG壳,找了一下,发现之前的fsg脱壳笔记并没有发出来,再这里,再补一下,这个程序的脱壳过程: 0x01查壳信息 0x02开始脱壳 载入OD 按 Alt+M 在Text段下断点: F9运行: 听下来之后Alt+F9返回到用户代码: 接着F4 运行到大跳转处: F7 运行过去 就是OEP了(第一次运行到大田转的地方会显示跳转未实现,...
脱壳之压缩壳-FSG
m0_60551756的博客
08-08 212
前言 因为FSG是压缩壳,所以脱壳时最应该尝试的是ESP定律,其次就是单步跟踪,这里入口点没有PUSHAD/PUSHFD指令,所以用单步跟踪寻找OEP,再者也可以尝试用API特征寻找OEP API特征: release版的VS2013的第一个API调用是:GetSystemTimeAsFileTime VC6.0的第一个API调用是:GetVersion Delphi的第一个API调用是:GetModuleHandleA 单步跟踪寻找OEP 1、OD加载程序后,单步观察堆栈变化 ..
自己的脱壳过程(FSG2.0)
潜心学习
07-08 1480
在UPK论坛下了一个密界精华,其实没看到有特别牛的东西,但是适合我等菜鸟,决定先把里面的脱壳示例中的程序脱一次,积累经验。 在我的脱文里,我会尽量将每一步的缘由说清楚,但如果你是基本反汇编,PE格式都不知道的就。。了 到OEP的方法:因为是压缩壳,跳转到OEP的方法多半是用jmp等跳转指令,所以单步跟踪即可 过程: 一直单步直到这个地方,你会发现如果想在004001DC上F4,程序
逆向脱壳-fsg手动脱壳
11-17 725
本文以2020湖湘杯第二道逆向为例,原题为无壳的exe文件: 首先对文件easyre.exe进行fsg加壳,加壳版本为fsg2.0:工具链接为: 对加完fsg壳之后的程序进行查壳,显示为: 可以看出有许多地方发生了改变,最重要的就在于程序入口的改变,大家都知道fsg为压缩壳,原理就在于在程序原OEP之前或在程序之后加上一段数据,使得程序调用是通过压缩段数据进行转发的,不影响程序的正常运行。首先将压缩后的程序进行OD载入: 在载入之后一路F8单步步过运行,当遇到如上图所示,向上跳转的情况时
脱壳笔记-手工脱FSG压缩壳
走在成长的路上
12-23 2485
详解手工脱FSG压缩壳
Oracle EBS FSG报表解决方案:精确、灵活与安全
FSG的实施旨在解决企业在报表制作过程中可能遇到的准确性、灵活性和效率问题。 2. 目标与分析: - 准确性:通过精确设定行和列的数据引用,降低手动输入错误,确保数据一致性。 - 灵活性:FSG允许用户灵活地调整...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值