FSG2.0 手动脱壳笔记

最新推荐文章于 2022-06-27 11:21:55 发布
VIP文章 最新推荐文章于 2022-06-27 11:21:55 发布
阅读量1.9k 收藏
点赞数
文章标签: byte c api
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zorro0920/article/details/2619255
版权

    为了逆向研究一款木马,给自己的马提供思路,需要脱壳。用PEID侦测,发现类型为FSG 2.0 -> bart/xt。试着脱了一下,ESP定律,内存镜像法都跑飞了。无奈只好单步跟踪了!这个壳很多朋友反应不好脱,有一定的难度,脱完之后的修复是关键!     用OD载入,

00400154 >  8725 6CD34000   xchg    ds:[40D 36C ], esp  ;停在这里单步F8

0040015A     61              popad

0040015B    94              xchg    eax, esp           ;ZX_Clear.0040D370

0040015C     55              push    ebp

0040015D    A4              movs    byte ptr es:[edi], byte ptr ds:[>

0040015E    B6 80           mov     dh, 80

00400160    FF13            call    ds:[ebx]

00400162  ^ 73 F 9           jnb     short ZX_Clear.0040015D

最低0.47元/天 解锁文章
zorro0920
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
手脱UPX壳的几种方法
xiaoyuai1234的博客
05-20 1万+
最近在研究各个壳的脱壳方法,有些心得,和大家分享一下如何手脱UPX的壳 我们的流程是 PEID查壳 得知壳的形式为 UPX 0.89.6 - 1.02/ 1.05 - 2.90 -> Markus & Laszlo OD载入,提示为“压缩代码是否继续分析”,我们选择否 方法一:单步跟踪法 程序停在如下图的地方 F8单步向下运行,注意向上的跳转 遇到向上的箭头我们就在下一行
UPX 0.89.6 - 1.02 / 1.05 - 2.90 (Delphi) stub -> Markus & Laszlo 手动脱壳
weixin_30517001的博客
08-22 913
UPX 0.89.6 - 1.02 / 1.05 - 2.90 (Delphi) stub -> Markus & Laszlo这个壳很容易脱壳。当然,手动只是查找到脱壳的位置,然后用OD的插件即可脱壳了。下面举个CrackMes的实例,看下如何脱这个壳,使用的依旧是ESP定律的方法找OEP,程序入口点。(1)OD载入程序,会提示压缩或是加密或是嵌入程序等提示,问...
手脱FSG 2.0 -> bart/xt
weixin_30900589的博客
10-21 110
声明: 只为纪录自己的脱壳历程,高手勿喷 1.在入口的第二行ESP定律下硬件断点然后F9运行8次(因为第9次就跑飞了) 0040955C > 60 pushad 0040955D EB 04 jmp short UnPackMe.00409563 //ESP定律F9运行8次 0040955F 625CE9 F...
脱壳笔记-手工脱FSG压缩壳
走在成长的路上
12-23 2425
详解手工脱FSG压缩壳
手动脱壳UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo教程
qingye
10-11 4221
手动脱壳  UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo 教程下载
详细分析脱FSG壳
leibso的博客
07-30 604
文章目录1 拿到当前加壳程序,用exeinfo/PeID 看一下信息2 使用LordPE 观察以下PE结构3 使用OD调试此程序尝试找OEP3.1 打开OD定位壳3.2 尝试找 OEP4 Dump5 修复IAT6 检测我们的脱壳之后的程序 1 拿到当前加壳程序,用exeinfo/PeID 看一下信息 可以看出是很老的壳FSG。 分析: ​ Entry Point : 000000154,熟悉P...
脱壳入门(二)之FSG2.0压缩壳
w_g3366的博客
08-07 965
脱壳入门(二)之FSG2.0压缩壳 一、环境和工具 Windows7+OllyDbg+PEID 二、寻找OEP 用PEID工具查壳 壳是FSG2.0压缩壳、链接器版本被隐藏了、区段也没名字、也不知到是什么语言编写的。 FSG2.0壳有一些特征,可以根据特征来寻找OEP 方法一:跳转到OEP代码: JMP DWORD PTR DS:[EBX+0xC] Ctrl+F搜索该条指令,F7单步一步跳...
170624 逆向-失败的脱壳
whklhhhh的博客
06-25 631
1625-5 王子昂 总结《2017年6月24日》 【连续第265天总结】 A. 脱壳前瞻 B. 明天考试于是基本都在复习高数 拽了一个?难度的CrackMe试试,拖入PEiD发现第一次遇到壳 Markus & Laszlo" style="margin:0px; padding:0px; vertical-align:middle; color:rgb(23,150,249); d
FSG 2.0脱壳
weixin_33835103的博客
10-07 113
bingtangscm4.exe---脱壳 搞定脱壳1.用Ollydbg载入2.在 GetProcAddress 设置断点3.F9运行程序,ALT+F9返回004001D1 FF63 0C JMP DWORD PTR DS:[EBX+C]//这里下断点,然后F9运行,为什么在这里下断不懂,跟教程学的004001D4 50 ...
FSG2.0脱壳机汉化版
09-05
FSG2.0脱壳机汉化版,很不错的工具,免OD脱壳,超级菜鸟都可以用的
FSG 2.0脱壳
07-10
可以脱掉FSG 2.0 -> bart/xt的壳,脱壳这种事不保证100%好用,2分还算公道
手动脱FSG壳实战的分析文档
07-09
手动脱FSG壳的详细的分析文档,该程序也是吾爱破解培训第一课作业3的分析和脱壳
FSG 2.0 plus(增强版)
06-21
FSG 2.0 plus(增强版),请勿用于非法用途
fsg脱壳手动
weixin_45574485的博客
08-28 717
1.第一步,老规矩,查壳,可以很清楚的看到是fsg2.0的壳 2.用od打开带壳程序,结果如下所示 3.使用esp法,先f8两步,然后对esp下硬件断点,再f9运行到下图 4.根据对fsg壳的经验,我们在断点往上翻,发现一个jmp dword ptr ds:[ebx+0xC],这里过去就应该是oep了,在此处f2打断点,再取消硬件断点。f9,执行到断点。 5.f8跳转过去,一片灰色,ctr...
压缩壳脱壳
weixin_41487541的博客
06-27 548
ESP定律可以找到大部分压缩壳的OEP,但是对于FSG壳失效。目前常见的FSG手脱方法大多是单步向下,单步一定能找到OEP但是会消耗时间并且可能出现跟飞的情况。可以通过OD中的SFX(自解压)设置选项来快速找到OEP。...
自己的脱壳过程(FSG2.0)
潜心学习
07-08 1451
在UPK论坛下了一个密界精华,其实没看到有特别牛的东西,但是适合我等菜鸟,决定先把里面的脱壳示例中的程序脱一次,积累经验。 在我的脱文里,我会尽量将每一步的缘由说清楚,但如果你是基本反汇编,PE格式都不知道的就。。了 到OEP的方法:因为是压缩壳,跳转到OEP的方法多半是用jmp等跳转指令,所以单步跟踪即可 过程: 一直单步直到这个地方,你会发现如果想在004001DC上F4,程序
FSG2.0壳的脱壳方法
biyusr的专栏
01-06 609
FSG2.0为压缩壳 1.单步脱壳法。 2.第二个脱壳法就比较神奇了,是利用了调试选项中的sfx的功能。 2.1先把od的选项调试中的sfx选项选择“字节方式跟踪真正入口处(速度非常慢)” 重新加载程序。 2.2等程序加载完成后,重新来到od的选项调试中的sfx选项选择“停在自解压器的入口点” 点击确定,程序左下角就开始进行read和write操作,等程序暂停后就到达了OEP。...
snc27p085fsg 烧录
最新发布
09-11
对于“snc27p085fsg”,根据这个信息的形式,我不确定具体是指什么。如果这是一个特定的芯片或存储设备的型号,那么“snc27p085fsg”的烧录可能是指将相应的程序或数据写入到这个芯片或设备中。 要进行烧录,通常...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值