FSG脱壳学习

最新推荐文章于 2020-11-17 09:34:27 发布
原创 最新推荐文章于 2020-11-17 09:34:27 发布 · 683 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

fsg脱壳可采用:

     1,超好用的esp定律法

     2,单步跳转法

不过这两个方法值得注意的是,fsg壳比upx壳的oep更加的隐蔽。可能看不到大的跳转,会把跳转地址隐藏在寄存器单元中如ebx,esp等


OEP的查找并不难,主要是修复,和查找IAT

*IAT*ImportAddressTableAddress导入地址表的地址


因为ImportREC自动查找的IAT不完全,所以需要手动查找


RVA起始地址和大小有误可通过以下方法查询


       找到一个call命令(右键follow in dump-memory


 address),通过REC判断是否为描述中的调


用地址,如


果是,就跳到该地址(在命令行中输入d+adress)手动拖


查找IAT的REC地址


找到初始地址,和末地址。(上方value全为0;下方value为0)


初始地址需要减去基地址 才是RVA的起始地址


 


好几天了,一直没有成功。我打算不在耽搁下去。一直出现的问


题就是显示无效的,导入函数表内没有一个是有效的      


creeew
关注
脱壳之压缩壳-FSG
m0_60551756的博客
08-08 286
前言 因为FSG是压缩壳,所以脱壳时最应该尝试的是ESP定律,其次就是单步跟踪,这里入口点没有PUSHAD/PUSHFD指令,所以用单步跟踪寻找OEP,再者也可以尝试用API特征寻找OEP API特征: release版的VS2013的第一个API调用是:GetSystemTimeAsFileTime VC6.0的第一个API调用是:GetVersion Delphi的第一个API调用是:GetModuleHandleA 单步跟踪寻找OEP 1、OD加载程序后,单步观察堆栈变化 ..
FSG2.0 手动脱壳笔记
草原Song
07-06 2070
    为了逆向研究一款木马,给自己的马提供思路,需要脱壳。用PEID侦测,发现类型为FSG 2.0 -> bart/xt。试着脱了一下,ESP定律,内存镜像法都跑飞了。无奈只好单步跟踪了!这个壳很多朋友反应不好脱,有一定的难度,脱完之后的修复是关键!     用OD载入,00400154 >  8725 6CD34000   xchg    ds:[40D36C], esp  ;停在这里单步
万能脱壳工具 v1.1
07-15
万能脱壳工具 v1.1 可以脱目前的大部分壳,非常方便
手动脱FSG壳实战
Fly20141201. 的专栏
07-09 4768
作者:Fly2015 对于FSG壳,之前没有接触过是第一次接触,这次拿来脱壳的程序仍然是吾爱破解论坛破解培训的作业3的程序。对于这个壳折腾了一会儿,后来还是被搞定了。   1.查壳 首先对该程序(吾爱破解培训第一课作业三.exe)进行查壳: 很遗憾,这次DIE也不行了,不过没事。 2.脱壳 OD载入该加壳的程序进行分析,下面是入口点的汇编代码:
FSG脱壳
ACdream
01-25 1379
在网上找几个unpackme来训练 FSG1.31的壳 先F12让程序暂停,然后使用SFX法 Ctrl+F2重启,然后F9! SFX脱壳大法好~ 这里就是OEP了,55 8B EC其实就是 在这里使用Ollydump就好~ 脱壳成功了哇~ FSG1.31属于简单壳(和UPX一样),可以使用F8大法脱壳,但是循环的嵌套层数比UPX多也更烦,在用
FSG 2.0脱壳机:自动化剥离技术解析
FSG 2.0脱壳机是一款计算机安全领域中的软件工具,专门设计用于处理由FSG(Fast-Stub-GNU)2.0加壳技术保护的可执行文件。加壳是一种常见的软件保护技术,用于防止逆向工程、盗版、修改或分析软件。壳通常包含加密和...
FSG2.0汉化版脱壳工具:简易免OD操作指南
标题中的"FSG2.0脱壳机汉化版"涉及到的是一个专门用于处理软件保护壳(也称为加壳或压缩壳)的工具。脱壳机(Unpacker)是一种软件工具,主要用于将已经加壳的可执行文件还原到未加壳的状态,以便于分析和破解。FSG...
万能脱壳机:破解ASPack FsG UPX壳技术解析
2.x表示该脱壳机能够处理FsG壳的第二个主要版本。 - **UPX 1.x-2.x**:UPX(Ultimate Packer for eXecutables)是一个开放源代码的可执行文件压缩程序。UPX 1.x-2.x指出该脱壳工具支持UPX壳的1.x和2.x版本之间的程序...
UnFSG2.1汉化版脱壳工具: 友好界面的FSG加壳解决方案
3. unFSG2.1脱壳工具的功能:unFSG2.1是一款专门针对FSG加壳程序的脱壳工具,它能有效地对经过FSG加壳处理的程序进行脱壳处理。脱壳后的程序可以被反编译、分析,从而找到程序的弱点或是恶意代码。 4. 友好用户界面...
2011年最新脱壳工具:破解学习的便捷选择
从描述中可以得知,这份脱壳工具是供学习和研究使用的,而不是用于任何商业目的。这是因为在软件行业中,破解软件可能违反版权法和软件许可协议,可能导致法律问题。所以,在使用任何脱壳工具时,用户需要清楚地了解...
手动脱FSG壳实战的分析文档
07-09
手动脱FSG壳的详细的分析文档,该程序也是吾爱破解培训第一课作业3的分析和脱壳
万能脱壳机 能够脱ASPack FsG UPX壳
05-23
万能脱壳机 万能脱壳机采用的是ap0x编写的脱壳引擎 目前支持 ASPack 2.12 FsG2.x UPX1.x-2.x的壳
脱壳工具包
12-16
Import REConstruct(修复工具) LordPE.Delu(脱壳修复) OllyDbg v1.10b汉化版 PEiD 0.94
红黑全能自动脱壳机——非常强大的脱壳工具
08-21
红黑全能自动脱壳机 非常强大的脱壳工具 下面是它能脱的壳: upx 0.5x-3.00 aspack 1.x--2.x PEcompact 0.90--1.76 PEcompact 2.06--2.79 NsPack nPack FSG 1.0--1.3 v1.31 v1.33 v2.0 VGCrypt0.75 expressor 1.0--1.5 dxpack v0.86 v1.0 !Epack v1.0 v1.4 mew1.1 packMan 1.0 PEDiminisher 0.1 pex 0.99 petite v1.2 - v1.4 petite v2.2 petite v2.3 winkript 1.0 pklite32 1.1 pepack 0.99 - 1.0 pcshrinker 0.71 wwpack32 1.0 - 1.2 upack v0.10 - v0.32 upack v0.33 - v0.399 RLPack Basic Edition 1.11--1.18 exe32pack v1.42 kbys 0.22 0.28 morphine v1.3 morphine v1.6 morphine v2.7 yoda's protector v1.02 yoda's protector v1.03.2 yoda's crypt v1.2 yoda's crypt v1.3 EXE Stealth v2.72--v2.76 bjfnt v1.2 - v1.3 HidePE 1.0--1.1 jdpack v1.01 jdpack v2.0 jdpack v2.13 PEncrypt v3.1 PEncrypt v4.0 Stone's PE Crypt v1.13 telock v0.42 telock v0.51 telock v0.60 telock v0.70 telock v0.71 telock v0.80 telock v0.90 telock v0.92 telock v0.95 v0.96 v0.98 v0.99 ezip v1.0 hmimys-packer v1.0 jdprotect v0.9b lamecrypt UPolyX v0.51 StealthPE 1.01 StealthPE 2.2 depack 涛涛压缩器 polyene 0.01 DragonArmour EP Protector v0.3 闪电壳(expressor) BeRoEXEPacker PackItBitch 木马彩衣 mkfpack anti007 v2.5 v2.6 yzpack v1.1 v1.2 v2.0 spack_method1 v1.0 v1.1 v1.2 v1.21 spack_method2 v1.1 v1.2 v1.21 xj1001 xj1000 xj看雪测试版 xj1003 xpal4 仙剑-凄凉雪 仙剑-望海潮 mslrh0.31 v0.32 [G!X]'s Protect
全能脱壳
10-23
这个工具的工作原理,它的壳特征和编译器特征保存在HackFans.txt里面,能识别出来的壳,基本上都有对应的脱壳函数,用壳特征脱壳,可以脱壳,对于一些不好特殊的壳你可以用OEP侦测来脱壳,这要依赖编译器特征,你也可以自己添加编译器特征到HackFans.txt 对某些未知壳,可能能用未知壳脱壳选项搞定,它里面的原理也是用了编译器入口处信息. 修改历史: 1.对有IAT加密情况的,才进行IAT解密,避免了有时候不需要解密也去解密,导致脱后程序不能执行 2.支持文件拖拽功能 3.脱未知壳时,如果IAT加密了,请选上解密加密IAT项,进行IAT还原 下面是它能脱的壳: upx 0.5x-3.00 aspack 1.x--2.x PEcompact 0.90--1.76 PEcompact 2.06--2.79 NsPack nPack FSG 1.0--1.3 v1.31 v1.33 v2.0 VGCrypt0.75 expressor 1.0--1.5 dxpack v0.86 v1.0 !Epack v1.0 v1.4 mew1.1 packMan 1.0 PEDiminisher 0.1 pex 0.99 petite v1.2 - v1.4 petite v2.2 petite v2.3 winkript 1.0 pklite32 1.1 pepack 0.99 - 1.0 pcshrinker 0.71 wwpack32 1.0 - 1.2 upack v0.10 - v0.32 upack v0.33 - v0.399 RLPack Basic Edition 1.11--1.18 exe32pack v1.42 kbys 0.22 0.28 morphine v1.3 morphine v1.6 morphine v2.7 yoda's protector v1.02 yoda's protector v1.03.2 yoda's crypt v1.2 yoda's crypt v1.3 EXE Stealth v2.72--v2.76 bjfnt v1.2 - v1.3 HidePE 1.0--1.1 jdpack v1.01 jdpack v2.0 jdpack v2.13 PEncrypt v3.1 PEncrypt v4.0 Stone's PE Crypt v1.13 telock v0.42 telock v0.51 telock v0.60 telock v0.70 telock v0.71 telock v0.80 telock v0.90 telock v0.92 telock v0.95 v0.96 v0.98 v0.99 ezip v1.0 hmimys-packer v1.0 jdprotect v0.9b lamecrypt UPolyX v0.51 StealthPE 1.01 StealthPE 2.2 depack 涛涛压缩器 polyene 0.01 DragonArmour EP Protector v0.3 闪电壳(expressor) BeRoEXEPacker PackItBitch 木马彩衣 mkfpack anti007 v2.5 v2.6 yzpack v1.1 v1.2 v2.0 spack_method1 v1.0 v1.1 v1.2 v1.21 spack_method2 v1.1 v1.2 v1.21 xj1001 xj1000 xj看雪测试版 xj1003 xpal4 仙剑-凄凉雪 仙剑-望海潮 mslrh0.31 v0.32 [G!X]'s Protect =================================================================
fsg脱壳
weixin_42539095的博客
12-25 489
前段时间学过一个fsg的壳,复习一下,写成笔记 老规矩,先查一下壳 载入OD后直接来到下面 下断,运行后跳过去就是OEP dump 修复 发现只找到一个手动查找一下OD中输入 将如下位置的FFFFF及7FFFFF改成0,重新获取即可 再次查找 保存,完成 ...
手脱 FSG 1.0 壳
qq_40249811的博客
06-24 523
1. 加载有壳程序 2.找到 Loadlibrary 函数掉用处下断点,在第二个ret 向上数第二个就是 LoadLibrary,第一个是GetProcAddress 这段代码用于填充IAT 3 三次路过 Loadlibrary 函数掉后,去掉断点, 在GetProcAddress 上面第一个JE的函数处下断点 4.用行到断点处,向下找就是 函数入口 ...
逆向脱壳-fsg手动脱壳
11-17 934
本文以2020湖湘杯第二道逆向为例,原题为无壳的exe文件: 首先对文件easyre.exe进行fsg加壳,加壳版本为fsg2.0:工具链接为: 对加完fsg壳之后的程序进行查壳,显示为: 可以看出有许多地方发生了改变,最重要的就在于程序入口的改变,大家都知道fsg为压缩壳,原理就在于在程序原OEP之前或在程序之后加上一段数据,使得程序调用是通过压缩段数据进行转发的,不影响程序的正常运行。首先将压缩后的程序进行OD载入: 在载入之后一路F8单步步过运行,当遇到如上图所示,向上跳转的情况时
详细分析脱FSG
leibso的博客
07-30 928
文章目录1 拿到当前加壳程序,用exeinfo/PeID 看一下信息2 使用LordPE 观察以下PE结构3 使用OD调试此程序尝试找OEP3.1 打开OD定位壳3.2 尝试找 OEP4 Dump5 修复IAT6 检测我们的脱壳之后的程序 1 拿到当前加壳程序,用exeinfo/PeID 看一下信息 可以看出是很老的壳FSG。 分析: ​ Entry Point : 000000154,熟悉P...
脱壳系列_0_FSG壳_详细版
leibso的博客
07-31 595
1 查看信息 使用ExeInfoPe查看此壳程序 可以看出是很老的FSG壳。 分析: Entry Point : 000000154,熟悉PE结构的知道,入口点(代码)揉进PE头去了。 在WIN10 以来在(被限制了)PE 头中不能有执行代码,只有在WIN7 及其以前的机器上,此程序才能执行。所以用虚拟机来脱这个很老的壳,在目前(本人)win10...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值