脱壳
GTZ_Crow
一个在逆向道路上前进的人
展开
-
逆向脱壳-压缩壳脱壳单步跟踪方法
1、压缩壳原理 所有的文件在存储中都是以0和1的形式存在的。 比如说一个文件的字节内容是“111111100000000000000000000000000000000000000000000000001111”,你要完全写出来的话,会很长很长, 但如果你用“1{7}0{49}1{4}”来描述它(当然这只是为方便说明这样写,并不是真的是一种压缩算法),也能得到同样的信息,但却只有13个字节,这样就减小了文件体积。 有些算法是无损的,也就是说都可以还原成与原文件一模一样;也有些算法是有损算法,但一般压原创 2020-12-03 11:59:46 · 845 阅读 · 0 评论 -
逆向脱壳-fsg手动脱壳
本文以2020湖湘杯第二道逆向为例,原题为无壳的exe文件: 首先对文件easyre.exe进行fsg加壳,加壳版本为fsg2.0:工具链接为: 对加完fsg壳之后的程序进行查壳,显示为: 可以看出有许多地方发生了改变,最重要的就在于程序入口的改变,大家都知道fsg为压缩壳,原理就在于在程序原OEP之前或在程序之后加上一段数据,使得程序调用是通过压缩段数据进行转发的,不影响程序的正常运行。首先将压缩后的程序进行OD载入: 在载入之后一路F8单步步过运行,当遇到如上图所示,向上跳转的情况时原创 2020-11-17 09:34:27 · 635 阅读 · 0 评论