手动脱壳-熊猫烧香病毒-FSG v2.0

最新推荐文章于 2022-06-27 11:21:55 发布
最新推荐文章于 2022-06-27 11:21:55 发布
阅读量1.7k 收藏 2
点赞数
分类专栏: 逆向分析 文章标签: 脱壳 熊猫烧香 逆向 破解 病毒
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wrsharper/article/details/80063648
版权
手动脱壳-熊猫烧香病毒-FSG v2.0操作环境系统:Windows 7 32bit工具: Exeinfope,查壳        OllyDbg,动态调试,Dump内存        ImportREC,修复IATFSG壳简介FSG v2.0是一款超级压缩壳,经过加壳后会减小目标文件体积.这个壳会对源程序IAT做简单的处理.0x0 查壳使用ExeinfoPE查壳,熊猫烧香样本显示带有压缩壳FSG...
摘要由CSDN通过智能技术生成

手动脱壳-熊猫烧香病毒-FSG v2.0

操作环境

系统:Windows 7 32bit

工具: Exeinfope,查壳

        OllyDbg,动态调试,Dump内存

        ImportREC,修复IAT

FSG壳简介

FSG v2.0是一款超级压缩壳,经过加壳后会减小目标文件体积.这个壳会对源程序IAT做简单的处理.

0x0 查壳

使用ExeinfoPE查壳,熊猫烧香样本显示带有压缩壳FSG v2.0.所以,想要分析程序,首先脱壳.


0x1脱壳

既然是FSG v2.0的压缩壳,我们就可以使用堆栈平衡的方法来定位到OEP.当然直接单步跟踪也可以(因为本身就没多少代码).


这里我直接单步跟踪,看到有特殊的跳转的地方就应该是跳转到真正OEP了.


跳过去查看,上下浏览一下,大概判定这就是原始OEP.

最低0.47元/天 解锁文章
HadesW_W
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[安全攻防进阶篇] 九.熊猫烧香病毒机理IDA和OD逆向分析(上)
杨秀璋的专栏
12-08 1万+
如果你想成为一名逆向分析或恶意代码检测工程师,或者对系统安全非常感兴趣,就必须要认真分析一些恶意样本。熊猫烧香病毒就是一款非常具有代表性的病毒,当年造成了非常大的影响,并且也有一定技术手段。本文将详细讲解熊猫烧香的行为机理,并通过软件对其功能行为进行分析,这将有助于我们学习逆向分析和反病毒工作。后续作者还将对其进行逆向调试,以及WannaCry勒索蠕虫、各种恶意样本及木马的分析。基础性文章,希望您喜欢!IDA和OD作为逆向分析的“倚天剑和“屠龙刀”,学好它们的基本用法至关重要。
逆向基础:软件手动技术入门
最新发布
2401_84206094的博客
05-28 920
最后一次异常法的原理是,程序在自解压或自解密过程中,可能会触发无数次的异常。如果能定位到最后一次程序异常的位置,可能就会很接近自动完成位置。现在最后一次异常法可以利用Ollydbg的异常计数器插件,先记录异常数目,然后重新载入,自动停在最后一次异常处。
手动(一)
Re_Fw
03-16 667
手动 手动一般分为三种,一是查找真正的入口点;二是抓取内存镜像文件;三是重建PE文件 理论上,当程序执行时,外代码首先获得控制权,模拟Windows加载器,将原来的程序恢复到内存中。这时,内存中的数据就是加前的镜像文件了。适时将其抓取并修改,即可还原到加前的状态。 OEP理论:外程序负责在内存中把原程序解压,还原,并把控制权还给解压后的真正程序,再跳到原来的程序入口点。一般的在这里会有一个明显的“分界线”,这个解压后真正的程序入口...
笔记-手工FSG压缩
走在成长的路上
12-23 2453
详解手工FSG压缩
压缩
weixin_41487541的博客
06-27 560
ESP定律可以找到大部分压缩的OEP,但是对于FSG失效。目前常见的FSG手方法大多是单步向下,单步一定能找到OEP但是会消耗时间并且可能出现跟飞的情况。可以通过OD中的SFX(自解压)设置选项来快速找到OEP。...
FSG 2.0
07-10
可以掉FSG 2.0 -> bart/xt的这种事不保证100%好用,2分还算公道
FSG2.0机汉化版
09-05
FSG2.0机汉化版,很不错的工具,免OD,超级菜鸟都可以用的
FSG-教材.doc
02-25
FSG开发技术教程 FSG开发技术是一种功能强大的报表开发工具,旨在帮助开发者快速构建复杂的报表应用程序。下面是对FSG开发技术的详细介绍: 第一部分:报表的组件 报表组件是FSG开发技术的基础组件,负责报表的...
ERP-ORACLE-EBS-财务报表生成器FSG报表.doc
06-19
ERP-ORACLE-EBS-财务报表生成器FSG报表 ERP-ORACLE-EBS-财务报表生成器FSG报表是Oracle总帐管理系统的一个强有力的报表建立工具。使用FSG,可以实现以下功能: 1. 依据总帐中的数据生成财务报表,例如损益表和资产...
手撕FSG2.0(有坑点)
寻梦&之璐
01-29 2006
声明 记住起始ESP值 0x18FF8C 单步执行 还是那句话,向下跳转执行,向上跳转直接F4 。前面看过我单步执行的都能运行到下图这里 这里得注意了,有三个跳转。。这就是FSG的坑点处 第一个js 向上跳的,不执行的,直接看第二个jnz。 第二个jnz 它直接跳过了下一个jump指令。。这就是坑点。。(因为第三个jump就是跳往OEP处),千万不能执行这个指令,很多操作,直接F4,或者直接改动标志寄存器让这个条件跳转不成立即可。 第三个jmp(跳往OEP处) OEP处,ESP值 0x18
FSG 2.0 plus(增强版)
06-21
FSG 2.0 plus(增强版),请勿用于非法用途
手动的七种基本方法--学习器.
03-08
手动的七种基本方法--学习器. 献给刚学习的朋友共享。
病毒木马查杀实战第005篇:熊猫烧香之逆向分析(上)
Gleam的专栏
11-17 8665
一、前言         对病毒进行逆向分析,可以彻底弄清楚病毒的行为,从而采取更有效的针对手段。为了节省篇幅,在这里我不打算将“熊猫烧香”进行彻底的分析,只会讲解一些比较重要的部分,大家只要掌握了这些思想,那么就可以处理很多的恶意程序了。一般来说,对病毒的静态分析,我们采用的工具是IDA Pro,动态分析则采用OllyDbg。由于后者会使病毒实际运行起来,所以为了安全起见,最好在虚拟机中操作。
“Nimaya(熊猫烧香)”病毒分析报告
hijack-x's Blog
04-10 6310
熊猫烧香”采用Delphi编写  该病毒的主要行为:一.传播   1.本地磁盘感染病毒对系统中所有除了盘符为A,B的磁盘类型为DRIVE_REMOTE,DRIVE_FIXED的磁盘进行文件遍历感染注:不感染文件大小超过10485760字节以上的.(病毒将不感染如下目录的文件):Microsoft FrontpageMovie MakerMSN Gamin ZoneCommon FilesWi
gonna2011的博客
03-11 156
1.对特定的可以用专门的软件进行。 2.也可以手动 想要首相要明白加的原理是什么?是怎么运作的?加是利用特殊的算法,对EXE、DLL文件里的资源进行压缩、加密。类似WINZIP 的效果,只不过这个压缩之后的文件,可以独立运行,解压过程完全隐蔽,都在内存中完成。它们附加在原程序上通过Windows加载器载入内存后,先于原始程序执行,得到控制权,执行过程中对原始程序进行解密、还原,还原完成后再把控制权交还给原始程序,执行原来的代码部分。加上外后,原始程序代码在磁盘文件中一般是以加密后的
方法总结
宗泽的博客
06-09 9380
一、单步跟踪法   的方法有很多,先来讲方法中最基础的单步跟踪法。单步跟踪法就是利用OD的单条指令执行功能,从的入口一直执行到OEP,最终通过这个OEP将原程序dump出来。然当,在单步跟踪的时候需要跳过一些不能执行到的指令。   使用单步跟踪法追踪OEP的常见步骤:   1、用OD载入待文件,如果出现压缩提示,选择“不分析代码”;   2、向下单步跟踪,实现向下的跳转;   3、遇...
UPX的几种方法
热门推荐
xiaoyuai1234的博客
05-20 1万+
最近在研究各个方法,有些心得,和大家分享一下如何手UPX的 我们的流程是 PEID查 得知的形式为 UPX 0.89.6 - 1.02/ 1.05 - 2.90 -> Markus & Laszlo OD载入,提示为“压缩代码是否继续分析”,我们选择否 方法一:单步跟踪法 程序停在如下图的地方 F8单步向下运行,注意向上的跳转 遇到向上的箭头我们就在下一行
逐行加注释以下代码float y,v0,v1,v2,r = 300,h = 0.005,n = 3,fh,u; float beta1 = 0.002,beta2 = 2.0,b = 0.01; float e,e1,e2,z1,z2,z3; uint16 beta01=0.3,beta02=4,beta03=10; uint8 sign(float x) { if (fabs(x) < 1e-6) { return 0; } return x > 0 ? 1 : -1; } uint8 fsg(float x, float d) { return (sign(x+d) - sign(x-d)) / 2; } float fhan(float x1, float x2, float r0, float h) { float h0,d,a0,a1,a2,a; h0 = n * h; d = r0 * h0 * h0; a0 = x2 * h0; y = x1 + a0; a1 = sqrt(d * (d + 8 * fabs(y))); a2 = a0 + sign(y) * (a1 - d) / 2; a = (a0 + y)*fsg(y,d) + a2*(1 - fsg(y,d)); fh = -r0 * (a / d )*fsg(a,d) - r0 * sign(a)*(1 - fsg(a,d)); return fh; } //void td_calc(void) //{ // fh = fhan(v1 - v0, v2, r, h); // v1 = v1 + h * v2; // v2 = v2 + h * fh; //} void eso_calc(void) { fh = fhan(v1 - v0, v2, r, h); v1 = v1 + h * v2; v2 = v2 + h * fh; e = z1 - y; z1 = z1 + h * (z2 - beta01 * e); z2 = z2 + h * (z3 - beta02 * e + b * u); z3 = z3 - h * beta03 * e; if(z1>=30000) z1=30000; if(z1<=-30000) z1 = -30000; if(z2>=30000) z2=30000; if(z2<=-30000) z2 = -30000; if(z3>=30000) z3=30000; if(z3<=-30000) z3 = -30000; e1 = v1 - z1; e2 = v2 - z2; u = ( beta1 * e1 + beta2 * e2 - z3) / b; }
06-11
float beta1 = 0.002, beta2 = 2.0, b = 0.01; float e, e1, e2, z1, z2, z3; uint16 beta01 = 0.3, beta02 = 4, beta03 = 10; // 定义两个函数:sign和fsg uint8 sign(float x) { // 如果x的绝对值小于1e-6 if ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值