逆向脱壳实训 #2 手脱FSG及寻找IAT

于 2022-01-01 10:55:54 发布
阅读量584 收藏 1
点赞数 1
分类专栏: 逆向学习 文章标签: 逆向 脱壳 FSG IAT Ollydbg
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48066554/article/details/122265893
版权

逆向脱壳实训 #2 手脱FSG及寻找IAT

文章目录


之前的ASPACK和NSPACK跟UPX脱起来差不多,就没有再写文章记录

但FSG相对前三者无论是在脱壳上还是在修复上都有了不小的差别,所以记录下手脱的经验

环境 & 工具

  • win xp系统(尝试使用win10系统复现失败,浪费在调试环境上的时间比实际学习的时间还长,只能说不愧是windows)
  • 吾爱破解版ollydbg
  • exeinfope(可使用其他类似查壳工具)
  • ImportREC
  • LordPE

脱壳

单步跟踪

同理,高地址跳转步进,低地址跳转跳过,注意无条件跳转长距离跳转

查壳

image-20211230093001703

OEP寻找

前期一路单步至此

image-20211230093304680

尝试跳过向上跳转

image-20211230093528995

程序进入运行态,说明主程序已经运行,说明跟踪程序入口点跟丢了:-(

image-20211230093801439

但是全程没有长距离跳转,说明程序的入口点应该在这个向上跳转的前面

那么0x4001D1处的无条件跳转有着最大的嫌疑

将断点设到0x4001D1处,直接运行至此处,随后f8跟进跳转

image-20211230151922166

发现此处正是一个长距离无条件跳转,跟进后到达OEP

image-20211230152521746
IAT校准

IAT(Import Address Table)即导入地址表,当程序需要调用系统dll(动态链接库)中的函数时(如CreateProcess等API),直接调用内存中的函数指针表IAT特定项,而函数指针表中保存的正是对应函数的入口地址

之所以需要进行如此转折而非直接在程序之中保存函数入口地址,是因为如果装载在内存中的dll位置一旦发生变化*(既然都叫dynamic link library了,动态一点也很正常吧 [doge])*,需要更改所有程序的对应函数入口跳转地址。而使用跳转后,当dll位置发生变化时,操作系统根据所指数据段中的字符串把表中的指针转换成函数新入口地址即可,极大的增加了dll的复用性使用效率

所以先看看ImportREC中自动获取的IAT大致位置

image-20211230161327360

在尝试使用自动获取的IAT地址修复程序后,发现该完整转存的镜像文件无法正常运行,所以只好手动找IAT的RVA(Relative Virtual Addresses)

image-20220101104532451

已知IAT的整体位置大概在0x250XX的位置,且当程序在使用表中函数时会直接call IAT某地址,所以先在程序中找到一个形式如call 0x250xx的语句

image-20211231000014608

在命令行中输入d 425210,然后就可以在数据窗口看见地址0x4025210的内容

image-20220101095139802

将数据窗口一直向上滚动直到出现空内容,空内容下方的第一项的地址即为RVA

image-20220101102706292

再一直向下滚动,最后一项与kernel有关的值减去RVA的值即为IAT的大小

image-20220101102954887

所以该程序的RVA地址0x425000,大小0x280

把RVA和大小填入

image-20220101104628652

与自动寻找的IAT对比

image-20220101104719401

其实还有一个懒方法,直接把大小填成0x1000

然后点击获取导入表->显示无效的->右键->剪切指针->修正转储即可

修复后

image-20220101105144744
lunat:c
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
手动脱FSG壳实战的分析文档
07-09
手动脱FSG壳的详细的分析文档,该程序也是吾爱破解培训第一课作业3的分析和脱壳
脱壳2_fsg1
08-08
脱壳2_fsg1
菜鸟脱壳脱壳的基础知识(六)——手动查找IAT和修复Dump的程序
banhanjun1518的博客
07-05 710
前面讲了如何寻找OEP和脱壳,有的时候,Dump出来的时候不能正常运行,是因为还有一个输入表没有进行处理,一些加密壳会在IAT加密上面大做文章,用HOOK-API的外壳地址来代替真是的IAT的地址,让脱壳者无法正确的还原程序的原始IAT,使得程序不能被破解,所以我们处理这些被加密IAT的地址的办法是找到加密这些IAT的地址的跳转(就是MagicJump),将它修改为强制跳转(JMP...
第八课 定位IAT
weixin_30662011的博客
08-28 135
定位IAT 一:半手动定位RVA 1,OD载入程序并走到OEP。 2,用OD脱壳(method 1)或用LordPe脱壳。 3,用Import reconstructor 找到进程,输入OEP-->自动搜索IAT,记录下RVA。 4,会到OD数据窗口界面,ctrl+G -->输入RVA+基址(就是VA,基址的话...
(5) 定位IAT
eldn__的专栏
10-03 1379
一:半手动定位RVA 1,OD载入程序并走到OEP。 2,用OD脱壳(method 1)或用LordPe脱壳。 3,用Import reconstructor 找到进程,输入OEP-->自动搜索IAT,记录下RVA。 4,会到OD数据窗口界面,ctrl+G -->输入RVA+基址(就是VA,基址的话看其他的地址就知道了,一般就是100000)跟随。 5,上下查看有函数的起始和终止地址
手工修复PE文件的IAT
xujunjie的专栏
11-04 2917
在做PE文件二次开发时常常需要手工添加导入函数,例如程序导入了7个dll文件(如下图),每个导入的dll有一个对应的IID: 其中前三个dll是程序隐式调用的,编译时会自动添加IID数组中,PE头中的数据目录项有一个AddressOfImport字段指向该数组的首地址,数组以一个全零的IID结束; 后面五个dll是手工添加进去的(可以借助LordPE工具添加),通过FirstTrunk可以看到
对一个加壳的可执行文件进行脱壳三种方法
任浩的博客
02-03 1805
1、自动静态脱壳:通过一些脱壳工具即可,相当于解压缩,最为方便快捷 2、自动动态脱壳:运行可执行文件,让脱壳存根的的文件脱出原始的可执行文件。 3、手动脱壳:找到加壳算法程序,自己分析源程序进行脱壳。 ...
逆向脱壳-fsg手动脱壳
11-17 659
本文以2020湖湘杯第二道逆向为例,原题为无壳的exe文件: 首先对文件easyre.exe进行fsg加壳,加壳版本为fsg2.0:工具链接为: 对加完fsg壳之后的程序进行查壳,显示为: 可以看出有许多地方发生了改变,最重要的就在于程序入口的改变,大家都知道fsg为压缩壳,原理就在于在程序原OEP之前或在程序之后加上一段数据,使得程序调用是通过压缩段数据进行转发的,不影响程序的正常运行。首先将压缩后的程序进行OD载入: 在载入之后一路F8单步步过运行,当遇到如上图所示,向上跳转的情况时
<逆向学习第三天>手动脱FSG壳,修复IAT
weixin_30737363的博客
01-12 236
其实对于简单的壳来说,脱壳常用的方法也无非是那几种,但是每种有每种的好处,具体使用那种方法视情况而定,我今天学习的这个壳很简单,但是重点在于修复IAT。 一、查壳: FSG 2.0的壳。 二、脱壳: 上篇随笔所说的3种方法都可以使用,单步法,内存2次镜像,ESP,这里内存2次镜像我们发现没有.rsrc区段,所以我们可以直接从地址为00401000的地方下断点,运...
手动脱FSG 2.0壳并修复IAT
曲终人散
08-01 421
经查看是FSG 2.0的壳
ollydbg脱壳Fsg2
10-21
Fsg2加的壳 可以用ollydbg自动脱掉的脚本程序
万能脱壳机 能够脱ASPack FsG UPX壳
05-23
在IT安全领域,"脱壳"是一个至关重要的概念,它涉及到对恶意软件的分析和逆向工程。"万能脱壳机"是一个专门用于去除软件保护壳的工具,旨在帮助安全专家、逆向工程师和研究人员深入理解软件内部结构,尤其是那些被...
fsg-setup.rar_V2
09-23
2. **Linux支持**:FSG板可以与Linux操作系统兼容,这通常意味着它提供了设备驱动程序和用户空间工具,以便在Linux环境下进行有效管理和控制。 3. **版本管理**:软件或固件的版本更新是持续改进和维护的过程,v...
【Matlab仿真】资源useless,don‘t download
07-12
【Matlab仿真】资源useless,don‘t download
岗位述职报告PPT模板 (4)
07-12
【作品名称】:岗位述职报告PPT模板 (4) 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。
顾客购物数据.CSV(3900条记录)
最新发布
07-12
标题中的“客户购物偏好数据集 CSV(3900条记录)【500010051】”指的是一个包含3900条记录的CSV格式数据集,专门用于研究客户的购物偏好。CSV(Comma Separated Values)是一种常见的数据交换格式,易于处理并能被多种数据分析软件读取,如Excel、Python的pandas库等。这个数据集的编号为500010051,可能是一个特定项目或研究的一部分,便于管理和引用。 描述中提到,“本数据集包含与客户购物偏好相关的各种特征”,这暗示了数据集中可能存在多个列,每个列代表一种特征,例如客户的年龄、性别、购买频率、购买时间、产品类别、消费金额等。这些特征可以用来分析消费者的购买习惯、产品喜好、消费时段选择以及潜在的消费模式。企业可以通过分析这些数据来定制更精准的营销策略,提高客户满意度和销售额。 购物偏好数据集通常包括以下几个关键领域的知识点: 1. **客户基础信息**:如年龄、性别、地理位置、职业等,这些信息有助于理解不同群体的购物习惯。 2. **购买行为**:如购买频率、每次购物的平均消费、购买的产品种类等,可以揭示消费者的购物频次和消费水平
ACM(Association for Computing Machinery)国际大学生程序设计竞赛
07-12
ACM(Association for Computing Machinery)国际大学生程序设计竞赛
elasticsearch数据库使用案例.docx
07-12
Elasticsearch是一种分布式搜索和分析引擎,可以用于许多场景,以下是一些常见的使用案例:这些案例展示了Elasticsearch在不同领域的广泛应用,通过其强大的搜索和分析能力,可以帮助企业更高效地管理和利用数据。
FSG报表学习总结.doc
12-20
Oracle General Ledger (GL) FSG财务报表生成器是一款由史鉴在2007年2月10日至2009年4月14日期间编写的关于Oracle EBS(Oracle Enterprise Business Suite)的白皮书,文档版本为1.0。这份学习手册旨在深入解析FSG...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值