手动脱壳-熊猫烧香病毒-FSG v2.0
操作环境
系统:Windows 7 32bit
工具: Exeinfope,查壳
OllyDbg,动态调试,Dump内存
ImportREC,修复IAT
FSG壳简介
FSG v2.0是一款超级压缩壳,经过加壳后会减小目标文件体积.这个壳会对源程序IAT做简单的处理.
0x0 查壳
使用ExeinfoPE查壳,熊猫烧香样本显示带有压缩壳FSG v2.0.所以,想要分析程序,首先脱壳.
0x1脱壳
既然是FSG v2.0的压缩壳,我们就可以使用堆栈平衡的方法来定位到OEP.当然直接单步跟踪也可以(因为本身就没多少代码).
这里我直接单步跟踪,看到有特殊的跳转的地方就应该是跳转到真正OEP了.
跳过去查看,上下浏览一下,大概判定这就是原始OEP.