FSG2.0(1)------内存镜像法

最新推荐文章于 2024-12-21 17:40:49 发布
原创 最新推荐文章于 2024-12-21 17:40:49 发布 · 839 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了一种使用内存镜像法来定位原始入口点(OEP)的方法。通过PEiD查壳并利用OllyDbg(OD)进行调试,详细步骤包括在资源段、代码段设置断点及跟踪输入表等操作。
一.内存镜像法
FSG2.0(1)------内存镜像法
FSG2.0(1)------内存镜像法1.先用PEiD查壳。
FSG2.0(1)------内存镜像法
2.进入OD,停在此处。
FSG2.0(1)------内存镜像法
3.关闭所有异常。
FSG2.0(1)------内存镜像法

4.先后在资源段,运行,代码段下断点,运行
发现程序已然开始
FSG2.0(1)------内存镜像法

在程序刚进入的时候停在资源段内,如果在此下断,并不会运行,于是在输入表下断。
FSG2.0(1)------内存镜像法
4.下断后运行之
FSG2.0(1)------内存镜像法
停在输入表
FSG2.0(1)------内存镜像法
5.双击代码段可以看到还未解压(如果是加密总不能密文都是一样的吧),继续在资源段下断,运行
6.还没解压。。在代码段下断,运行
FSG2.0(1)------内存镜像法
7.单步执行,到下图处会有卡一下的感觉
FSG2.0(1)------内存镜像法
8.其下不远处能找到oep

FSG2.0(1)------内存镜像法

纵横网络靶场-内存镜像分析-工控业务流量分析
m0_68113265的博客
10-17 638
一黑客通过互联网扫描,发现某企业的互联网入口,经过一系列操作将工控机进行了锁定,你能通过分析内存镜像,破解黑客留下的登录密码吗,并找到FLAG,flag形式为 flag{}对Administrator的最后一段数字进行md5解密,得123456789,再进行md5加密的32位小写密文位flag。某工场在厂区安全检测时,检测到一段异常流量数据包,分析数据包中的异常,找到FLAG,flag形式为 flag{}该功能码用于读取离散输出(线圈)的状态。通常,它用于读取数字输出的状态,例如,获取开关或继电器的状态。
C语言进阶之路之内存镜像与字符操作函数篇
一名想当程序员的人
12-07 1519
本文介绍了C的编程时各代码位置的实际分布内存,还有字符操作函数等其他知识。理解本文所有知识点后,便可打败其中的小怪,拿下经验值~
内存映像分析工具
02-13
单独使用的Memory Analyzer,一个功能丰富的 JAVA 堆转储文件分析工具,可以帮助你发现内存漏洞和减少内存消耗。可以利用 MAT 来进行堆转储文件分析,找到内存泄露的根源。
破解入门(六)-----实战“内存镜像”脱壳
系统运维
06-13 593
内存镜像的步骤 (1)用OD打开软件 (2)点击选项——调试选项——异常,把里面的忽略全部√上。CTRL+F2重载下程序 (3)按ALT+M,打开内存镜象,找到程序的第一个.rsrc.按F2下断点,然后按SHIFT+F9运行到断点,接着再按ALT+M,打开内存镜象,找到程序的第一个.rsrc.上面的代码段.text(或者CODE)(也就是00401000处),按F2下断点。然后按SHI...
Windows内存镜像取证
ping204568238的博客
02-29 1555
3.终端输入volatility -f 文件名.vmem --profile=系统版本号 netscan就可以得到本地以及远程用户的IP地址和连接端口号。4.终端输入volatility -f 文件名.vmem --profile=系统版本号 cmdscan就可以得到历史命令,从而看到第一个命令。5.终端输入volatility -f 文件名.vmem --profile=系统版本号 iehistory就可以找到浏览器搜索过的内容。需要指定偏移量 -Q 和输出目录 -D。
FSG2.0 手动脱壳笔记
草原Song
07-06 2082
    为了逆向研究一款木马,给自己的马提供思路,需要脱壳。用PEID侦测,发现类型为FSG 2.0 -> bart/xt。试着脱了一下,ESP定律,内存镜像都跑飞了。无奈只好单步跟踪了!这个壳很多朋友反应不好脱,有一定的难度,脱完之后的修复是关键!     用OD载入,00400154 >  8725 6CD34000   xchg    ds:[40D36C], esp  ;停在这里单步
ximo脱壳基础(个人学习汇总记录 一 )
bukengde的博客
04-02 746
0x01 假期学习了”ximo脱壳基础“,学习过程中有一些记录发出来可以供大家参考。记录中步骤都是以“ximo脱壳基础”中的例子为参考,部分壳进行时需要根据具体情况进行改变,这里的总结步骤不是绝对的过程。 有些方是通用的,所以会重复出现。 0x02 1)UPX壳(压缩壳)一:单步跟踪 使程序只执行向下跳转,不让向上跳,直到运行...
Linux安全体系的ClamAV病毒扫描程序[转]
wdbfz的专栏
12-01 9341
> <br />摘自:http://www.shangshuwu.cn/index.php/Linux安全体系的ClamAV病毒扫描程序<br /> <br /> <br /> <br />ClamAV是使用广泛且基于GPL License的开放源代码的典型杀毒软件,它支持广泛的平台,如:Windows、Linux、Unix等操作系统,并被广泛用于其他应用程序,如:邮件客户端及服务器、HTTP病毒扫描代理等。ClamAV源代码可从http://www.clamav.net 下载。 <br />本章分
华为手机变砖救援全指南:eMMC强制重写操作的3步生死营救流程
![华为手机变砖救援全指南:eMMC强制... # 摘要 华为手机“变砖”问题常源于eMMC存储系统的逻辑或物理损坏,导致设备无正常启动。本文基于eMMC芯片的工作机制与分区结构,系统分析软砖与硬砖的底层成因,重点探讨在
内存镜像文件取证
山兔的博客
03-20 2130
打印userassist注册表项和信息跟踪在资源管理器中打开的可执行文件和完整路径,其中UserAssist保存了windows执行的程序的运行次数和上次执行日期和时间。题目问我们的是最后一次运行计算器的时间,我们直接去找calc.exe的最后一次运行的时间得出最后运行的时间是2021-12-10 12:15:47 UTC+0000,因为我们是在东八区,所以时间要加上8个小时,所以最终的截止时间是2021-12-10 20:15:47。
内存镜像转储取证
01-13
这个工具可以dump内存,将目前计算机的内存镜像保存为raw文件,然后方便使用kali中的取证工具进行取证分析。
FSG 2.0脱壳机
07-10
可以脱掉FSG 2.0 -> bart/xt的壳,脱壳这种事不保证100%好用,2分还算公道
内存镜像脱壳
小龙在线
09-12 978
内存镜像一般用于稍微复杂的脱壳,在本例中不是很适用,但也能找到OEP。 如果在资源段加一个断点,第一次访问资源段地址的是脱壳程序。 首先用Ollydbg打开notepad.exe文件 在菜单栏的【选项】,选择【调试设置】,然后切换到【异常】标签页 勾选该页上的各种忽略异常,然后关闭 按下Alt+M键打开内存镜像,找到notepad的资源段,也就是 地址=00407000,大小=00005000.rsrc段,也就是第一个看到的.rsrc资源段,选中这行按下F2设置断点 然后按下F9运行,程序执行到了
名词解释 内存镜像
weixin_34072637的博客
06-27 535
在IBM官网上看了下X3650的介绍。看到了一个新鲜的名词 内存镜像 ,就找了看看 ,IBM的另一种更高级的防止因内存错误而导致整个服务器不稳定性事件发生的技术就是内存镜像技术。或许有可能服务器不知什么原因使许多内存保护和Chipkill修复技术都不能完全修复内存错误的情况,此时内存镜像就会开始在系统中运行。  内存镜像的工作原理很像磁盘镜像,就是将数据同时写入到两个...
进程内存转储工具|内存镜像提取-取证工具
最新发布
chinese_cabbage0的博客
12-21 2417
内存转储是将内存所运行的程序中所有数据通过调试器保存到磁盘中的过程。系统崩溃时,将内存中的数据转储保存在转储文件中,供给有关人员进行排错分析。其生成所保存的文件被称作内存转储文件,主要用于程序的调试和内存取证。
【内存取证篇】内存镜像神器-MAGNET RAM Capture
蘇小沐的电子数据取证博客
12-01 5254
【内存取证篇】内存镜像神器-MAGNET RAM Capture ​ MAGNET取证公司出品的内存取证工具、免费、小巧(300多KB)、操作极简(一步到位?!)、内存镜像可分段—【suy】 文章目录【内存取证篇】内存镜像神器-MAGNET RAM Capture就需要设置两样1、设置分段大小2镜像保存位置内存镜像完成总结 就需要设置两样 1、设置分段大小 ​ 五种:不分段、500MB、1GB、2GB、4GB; 2镜像保存位置 自定义内存镜像保存位置(镜像需要自命名); 然后点击开始即可。 实时
C语言中内存镜像,浅析c语言中的内存
weixin_29607417的博客
05-25 432
1、栈(stack):存局部变量、函数,调用函数时会开辟栈区,函数结束时就自动回收,遵循后进先出的原则,从高地址向低地址增长。2、堆(heap):malloc、realloc、calloc等开辟的内存就在堆,从低地址向高地址增长,由程序员分配和释放,系统不自动回收,所以一定要记得申请了就要释放,以免溢出。3、数据段(初始化数据段)(data):存放初始化的全局变量、static修饰的已初始化的变量...
内存映像图
AS588AS的博客
02-01 2355
内存映像图内存映像象图内容权限栈区函数中的普通变量可读可写堆区动态申请的内存可读可写静态变量区static修饰的变量可读可写数据区用于初始化变量的常量只读代码区代码指令只读1. 栈区:普通变量(非new, 非const...2. 堆区:使用new动态分配的(或者, 其他动态分配方)3. 静态变量区:static修饰的4. 数据区:例如, 初始化字符指针的--char*p="this is a ...
一文教你学会解析内存镜像(历年美亚杯内存镜像检材汇总-附相关命令软件检材下载链接)
m0_37867238的博客
11-05 1513
(1) A. 31.12.82.1 B. 40.10.261.1 C. 218.112.79.1 D. 218.112.172.8 E. 未连接/未连接到任何外部IP.(1) A. mmlang.dll B. Normal.dll C. sensapi.dll D. Secu.dll E. WINNS.dll.显示过程ID,该父进程ID(PPID),线程的数目,把手的数目,日期时间时,过程开始和退出。(1) A. E:/ B. F:/ C. G:/ D. Z:/ E. 未连接/未连接到任何外部IP.
FSG 2.0脱壳工具合集:支持bart/xt格式
FSG 2.0脱壳机是一种专门用于去除FSG 2.0版本加壳程序的工具集,其核心目标是帮助用户对使用FSG 2.0加密或压缩的可执行文件进行脱壳操作。FSG(Fast Small and Great)是一种常见的PE文件压缩工具,广泛用于对可执行...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值