FSG2.0(2)------手动查找IAT

最新推荐文章于 2020-12-29 16:43:38 发布
原创 最新推荐文章于 2020-12-29 16:43:38 发布 · 902 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了一个具体的脱壳过程,使用OllyDump进行脱壳,并利用ImportREConstructor修复IAT,手动定位IAT位置,最终成功脱壳。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

上回找到了OEP,接着就进行脱壳。
FSG2.0(2)------手动查找IAT
用OllyDump,不选择重建输入表,点击脱壳。
FSG2.0(2)------手动查找IAT

用Import REConstructor修复IAT,修改OEP,自动搜索,获取输入表(ps:此时od未关,停在OEP处)
FSG2.0(2)------手动查找IAT
DIT查询得知此程序是vc编译,而一个简单的vc编译程序是这样:
FSG2.0(2)------手动查找IAT
所以需要手动查找IAT。
FSG2.0(2)------手动查找IAT

FSG2.0(2)------手动查找IAT
FSG2.0(2)------手动查找IAT
在402190上面找到最开始的地方(前面全是0的位置)402000就是IAT的位置。
FSG2.0(2)------手动查找IAT
size足够大即可。
再次获取输入表。
显示无效函数,右键剪切,保存文件即可。
FSG2.0(2)------手动查找IAT
剪切后的样子
FSG2.0(2)------手动查找IAT
成功脱壳
FSG2.0(2)------手动查找IAT

自己的脱壳过程(FSG2.0)
潜心学习
07-08 1543
在UPK论坛下了一个密界精华,其实没看到有特别牛的东西,但是适合我等菜鸟,决定先把里面的脱壳示例中的程序脱一次,积累经验。 在我的脱文里,我会尽量将每一步的缘由说清楚,但如果你是基本反汇编,PE格式都不知道的就。。了 到OEP的方法:因为是压缩壳,跳转到OEP的方法多半是用jmp等跳转指令,所以单步跟踪即可 过程: 一直单步直到这个地方,你会发现如果想在004001DC上F4,程序
FSG2.0 手动脱壳笔记
草原Song
07-06 2065
    为了逆向研究一款木马,给自己的马提供思路,需要脱壳。用PEID侦测,发现类型为FSG 2.0 -> bart/xt。试着脱了一下,ESP定律,内存镜像法都跑飞了。无奈只好单步跟踪了!这个壳很多朋友反应不好脱,有一定的难度,脱完之后的修复是关键!     用OD载入,00400154 >  8725 6CD34000   xchg    ds:[40D36C], esp  ;停在这里单步
FSG 2.0脱壳机
07-10
可以脱掉FSG 2.0 -> bart/xt的壳,脱壳这种事不保证100%好用,2分还算公道
手动查找 IAT 的方法!!!
xum2008的专栏
11-12 3065
 一个这样的壳: MoleBox 2.x.x -> Mole Studio 是用 汇编写的;  ***************************** 运用 ESP 定律 达到程序的 OEP (如果在这个过程中,程序出现异常,就将它们添加进异常,继续运行程序,到达OPE,当看到 -jmp后,F7 进入就到了),正常脱壳后,发现程序无法运行。。修复时,有两个无效的指针。用
菜鸟脱壳之脱壳的基础知识(六)——手动查找IAT和修复Dump的程序
banhanjun1518的博客
07-05 780
前面讲了如何寻找OEP和脱壳,有的时候,Dump出来的时候不能正常运行,是因为还有一个输入表没有进行处理,一些加密壳会在IAT加密上面大做文章,用HOOK-API的外壳地址来代替真是的IAT的地址,让脱壳者无法正确的还原程序的原始IAT,使得程序不能被破解,所以我们处理这些被加密IAT的地址的办法是找到加密这些IAT的地址的跳转(就是MagicJump),将它修改为强制跳转(JMP...
手工脱壳之 FSG压缩壳【IAT反修复】
aihan8042的博客
03-19 261
一、工具及壳介绍 使用工具:Ollydbg,PEID,ImportREC,LoadPE FSG2.0: 二、脱壳 1、追踪 修复IAT表代码 入口处,没有pushad特征,无法使用ESP定律。 查看导入表信息。 推测壳利用LoadLibrary 和 GetProcAddress ...
FSG 2.0脱壳
weixin_33835103的博客
10-07 160
bingtangscm4.exe---脱壳 搞定脱壳1.用Ollydbg载入2.在 GetProcAddress 设置断点3.F9运行程序,ALT+F9返回004001D1 FF63 0C JMP DWORD PTR DS:[EBX+C]//这里下断点,然后F9运行,为什么在这里下断不懂,跟教程学的004001D4 50 ...
Python库 | gcloud_aio_pubsub_fsg-1.1.3-py2.py3-none-any.whl
05-31
资源分类:Python库 所属语言:Python 使用前提:需要解压 资源全名:gcloud_aio_pubsub_fsg-1.1.3-py2.py3-none-any.whl 资源来源:官方 安装方法:https://lanzao.blog.csdn.net/article/details/101784059
FSG Free Web-Interface-开源
05-04
FSG Free Web-Interface是一种多语言软件,用于配置Freecom Storage Gateway并在网站上提供此服务器的更多功能。 ->为获得帮助和支持,请查看我的Wiki:http://fsgfree-wi.wiki.sourceforge.net/
FSG2.0脱壳机汉化版
09-05
FSG2.0脱壳机汉化版,很不错的工具,免OD脱壳,超级菜鸟都可以用的
(5) 定位IAT
eldn__的专栏
10-03 1457
一:半手动定位RVA 1,OD载入程序并走到OEP。 2,用OD脱壳(method 1)或用LordPe脱壳。 3,用Import reconstructor 找到进程,输入OEP-->自动搜索IAT,记录下RVA。 4,会到OD数据窗口界面,ctrl+G -->输入RVA+基址(就是VA,基址的话看其他的地址就知道了,一般就是100000)跟随。 5,上下查看有函数的起始和终止地址
FSG 2.0 plus(增强版)
06-21
FSG 2.0 plus(增强版),请勿用于非法用途
手动脱壳—dump与重建输入表 相关例子附件
08-31
博客文章《手动脱壳—dump与重建输入表》,文章地址:http://blog.csdn.net/ccnyou/article/details/7930817
第34章-手脱UPX,修复IAT1
08-03
提示无效的 win32 程序,我们需要修复 IAT,我们需要用到一个工具,名字叫做 Import REConstructor,不要关闭 OD,将让其断在 OEP
脱壳入门()FSG2.0压缩壳
w_g3366的博客
08-07 1157
脱壳入门()FSG2.0压缩壳 一、环境和工具 Windows7+OllyDbg+PEID 二、寻找OEP 用PEID工具查壳 壳是FSG2.0压缩壳、链接器版本被隐藏了、区段也没名字、也不知到是什么语言编写的。 FSG2.0壳有一些特征,可以根据特征来寻找OEP 方法一:跳转到OEP代码: JMP DWORD PTR DS:[EBX+0xC] Ctrl+F搜索该条指令,F7单步一步跳...
FSG2.0脱壳记录
Cosmopolitan的博客
04-04 914
想要加壳文件的可以评论留言。。 1.现用PEId查一下壳,发现是FSG压缩壳 2.载入od,是fsg的入口特征 3.od往下到 jmp dword ptr:[ebx+0xc],下断点 4.F9 运行,执行到jmp,跳转到这里 5.到oep,删除模块分析 6.后面用LordPe dump,Import REC修复导入表,这里不再赘述。 ...
PE文件中的IAT和IET
learn112的博客
12-29 1200
PE文件中的IAT和IET IAT IAT中文名叫导入地址表 在IAT中存放的是导入的函数的RVA数组,每个元素对应一个函数的地址(RVA) 通过这个RVA即可找到导入函数的位置 所以说我们必须先知道IAT在哪 1.找到可选头结构体的最后一个成员 可选头结构体的最后一个成员是DataDirectory 它是一个结构体数组 typedef struct _IMAGE_OPTIONAL_HEADER { WORD Magic; BYTE M
OD使用之查找 API的方法
nethm的专栏
09-26 9706
一    反汇编窗口,右键--查找--当前模块中的名称,就可以列出所有函数了。快捷键Ctrl+N   如果想查看所有引用这个函数的地方,则继续在函数上面右键--查找所有调用引用。 二  bp CreateFileA ,然后F9 跑起来,如果能够断下来。不是很准确,但是在一定条件下,好用。
FSG2.0壳的脱壳方法
biyusr的专栏
01-06 681
FSG2.0为压缩壳 1.单步脱壳法。 2.第二个脱壳法就比较神奇了,是利用了调试选项中的sfx的功能。 2.1先把od的选项调试中的sfx选项选择“字节方式跟踪真正入口处(速度非常慢)” 重新加载程序。 2.2等程序加载完成后,重新来到od的选项调试中的sfx选项选择“停在自解压器的入口点” 点击确定,程序左下角就开始进行read和write操作,等程序暂停后就到达了OEP。...
开源FSG Free Web-Interface配置与管理指南
资源摘要信息:"FSG Free Web-Interface是一款开源的多语言软件,主要用于配置Freecom Storage Gateway,并在网站上提供此服务器的更多功能。这款软件支持多语言,使得不同语言的用户都可以轻松使用。用户可以通过...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值