手动脱壳-熊猫烧香病毒-FSG v2.0

最新推荐文章于 2021-03-16 21:53:27 发布
原创 最新推荐文章于 2021-03-16 21:53:27 发布 · 2.3k 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#脱壳 #熊猫烧香 #逆向 #破解 #病毒

本文详细介绍了如何手动为熊猫烧香病毒样本进行FSG v2.0壳的脱壳过程。通过使用ExeinfoPE查壳,OllyDbg动态调试,及ImportREC修复IAT,最终成功脱壳并运行。在脱壳过程中,遇到了因壳对导出表处理导致的内存访问异常问题,通过修复IAT解决。总结指出,对于压缩壳,可以利用堆栈平衡找到OEP,但FSG壳需要额外修复IAT。

手动脱壳-熊猫烧香病毒-FSG v2.0

操作环境

系统:Windows 7 32bit

工具: Exeinfope,查壳

        OllyDbg,动态调试,Dump内存

        ImportREC,修复IAT

FSG壳简介

FSG v2.0是一款超级压缩壳,经过加壳后会减小目标文件体积.这个壳会对源程序IAT做简单的处理.

0x0 查壳

使用ExeinfoPE查壳,熊猫烧香样本显示带有压缩壳FSG v2.0.所以,想要分析程序,首先脱壳.


0x1脱壳

既然是FSG v2.0的压缩壳,我们就可以使用堆栈平衡的方法来定位到OEP.当然直接单步跟踪也可以(因为本身就没多少代码).


这里我直接单步跟踪,看到有特殊的跳转的地方就应该是跳转到真正OEP了.


跳过去查看,上下浏览一下,大概判定这就是原始OEP.


我们运行到此处,在此处Dump内存.


保存为123_1.exe,运行一下测试,报错.0xC0000005.内存访问异常,应该是壳对导出表做了处理,导致我们dump下来的内存有错误.


0x2 修复

在调试器中上下浏览一下代码,看到有直接调用的函数.进去查看,知道此处就是调用的原始IAT函数



确定好OEP和IAT后,我们使用ImportREC这个工具来从内存中修复dump下来的文件中的IAT


选择目标进程,填写OEP和IAT的RVA,点击获取输入表(可以把Size写大一点),找到函数后点击查看无效函数,把无效的指针剪切掉,最后保存到dump下来的文件123_1.exe.

最后生成了123_1_.exe,运行程序后能够使系统运行起熊猫烧香病毒,再次使用exeinfope查壳,显示Delphi程序.

至此,我们脱壳成功.接下来就是具体分析这个熊猫烧香的病毒了.

0x3 总结

FSG v2.0是压缩壳,没什么好说的.

总结一句吧,压缩壳可以直接使用堆栈平衡方法来找到OEP,然后dump内存.只不过FSG需要修复一下IAT才能运行.


吐糟,最近很多东西都是写了一半,或者做了一半时间就没了,然后在拿起来就有点不想做下去了.所以说,漏洞那块的东西还没有完结的,只不过我太懒太菜,慢慢来补


自己的脱壳过程(FSG2.0)
潜心学习
07-08 1580
在UPK论坛下了一个密界精华,其实没看到有特别牛的东西,但是适合我等菜鸟,决定先把里面的脱壳示例中的程序脱一次,积累经验。 在我的脱文里,我会尽量将每一步的缘由说清楚,但如果你是基本反汇编,PE格式都不知道的就。。了 到OEP的方法:因为是压缩壳,跳转到OEP的方法多半是用jmp等跳转指令,所以单步跟踪即可 过程: 一直单步直到这个地方,你会发现如果想在004001DC上F4,程序
熊猫烧香病毒分析
ZK_1874的博客
10-28 3388
熊猫烧香病毒分析
脱壳入门(二)之FSG2.0压缩壳
w_g3366的博客
08-07 1201
脱壳入门(二)之FSG2.0压缩壳 一、环境和工具 Windows7+OllyDbg+PEID 二、寻找OEP 用PEID工具查壳 壳是FSG2.0压缩壳、链接器版本被隐藏了、区段也没名字、也不知到是什么语言编写的。 FSG2.0壳有一些特征,可以根据特征来寻找OEP 方法一:跳转到OEP代码: JMP DWORD PTR DS:[EBX+0xC] Ctrl+F搜索该条指令,F7单步一步跳...
一个病毒脱壳及修复
zhuzhenyang110的专栏
11-09 985
 这是一个最近比较流行的使用.net加壳的病毒脱去.net壳后的一个中间体。脱壳和修复 过程不是很复杂,但还是需要一些小技巧。     未脱壳的代码如下图所示: 401535前面都是壳代码,从call eax进入到实际代码运行,从7ff8165c开始,但是实际代码运行后下api断点都断不来 从7ff8166b这个调用跟进去,发现它指向了一个mov edi,edi,然后
手动脱ORiEN壳实战
Fly20141201. 的专栏
07-14 1663
作者:Fly2015 ORiEN这种壳之前没有接触,到底是压缩壳还是加密壳也不知道,只能试一试喽。需要脱壳的程序是吾爱破解脱壳练习第7期的题目。   首先对加壳程序进行查壳,这一步也是程序脱壳的必要的一步。 使用DIE工具对加壳程序进行查壳,发现被加壳程序原来是用Delphi语言编写的,这个信息对于找原程序的OEP是很有帮助的。 下面OD载入程序进行分析,被加壳程序入
手动脱NsPacK壳实战
Fly20141201. 的专栏
07-09 3023
这里脱壳的程序是吾爱破解培训的作业2,相较于作业1稍微要强一点,但是只要掌握了脱壳的ESP定律,脱这个Nspack壳并不难,不过还是蛮有意思的。 1.使用查壳软件对加壳的程序进行查壳。 使用PE Detective查壳的结果: 使用DIE查壳的结果: 2.OD载入程序进行脱壳操作 OD载入以后,被加壳程序的入口点的汇编代码,如图。很显然,加壳程序载入OD以后,发现
FSG2.0脱壳机汉化版
09-05
FSG2.0脱壳机汉化版,很不错的工具,免OD脱壳超级菜鸟都可以用的
FSG 2.0脱壳
07-10
可以脱掉FSG 2.0 -> bart/xt的壳,脱壳这种事不保证100%好用,2分还算公道
FSG 2.0脱壳机:自动化去除FSG 2.0壳工具
FSG 2.0脱壳机是一种专门用于去除使用FSG 2.0加壳技术的可执行文件外壳的自动化工具,广泛应用于逆向工程、恶意软件分析和二进制安全研究领域。FSG(Fast Software Guard)是一种较为早期但曾在病毒与木马程序中广泛...
手动脱RLPack壳实战
Fly20141201. 的专栏
07-15 3046
作者:Fly2015 吾爱破解论坛培训第一课选修作业练习的第7题。这个壳没听说过,但是脱起来比较简单,根据ESP定律即可直达光明,Dump出原来的程序。   老规矩,首先对需要脱壳的程序进行查壳处理。 使用DIE查壳的结果,程序加的是RLPack壳并且原程序是用微软编译器编译的。 OD载入加壳程序进行调试分析,入口点代码反汇编快照。 看到PUSHAD指令想都不要想,
手动脱壳教程 第一课.手脱UPX的四种方法
10-13
给大家的见面礼!呵呵 这是一个给菜鸟的基础教程。 1第一课.手脱UPX的四种方法
手动脱壳的七种基本方法--学习器.
03-08
手动脱壳的七种基本方法--学习器. 献给刚学习脱壳的朋友共享。
手动脱壳入门5-8
12-24
根教程供学习破解脱壳的初学者观看,
CTB-LOCKER敲诈者病毒下载器脱壳之样本1
Fly20141201. 的专栏
05-06 2976
一、病毒简介 CTB-LOCKER敲诈者病毒最初是在国外被发现的,该病毒是有两部分组成分别是下载器部分和文档加密部分。病毒作者将下载器程序部分伪装成邮件附件发送给一些大公司的员工或者高管,当这些人下载了邮件里的附件,解压邮件附件运行如.src等格式的文件以后,电脑里很多格式的文件都会被加密,并且还会出现如下的提示画面(图1)以及桌面壁纸被修改(图2)所示。
手动脱壳(一)
Re_Fw
03-16 832
手动脱壳 手动脱壳一般分为三种,一是查找真正的入口点;二是抓取内存镜像文件;三是重建PE文件 理论上,当程序执行时,外壳代码首先获得控制权,模拟Windows加载器,将原来的程序恢复到内存中。这时,内存中的数据就是加壳前的镜像文件了。适时将其抓取并修改,即可还原到加壳前的状态。 OEP理论:外壳程序负责在内存中把原程序解压,还原,并把控制权还给解压后的真正程序,再跳到原来的程序入口点。一般的壳在这里会有一个明显的“分界线”,这个解压后真正的程序入口...
手撕FSG2.0壳(有坑点)
寻梦&之璐
01-29 2230
声明 记住起始ESP值 0x18FF8C 单步执行 还是那句话,向下跳转执行,向上跳转直接F4 。前面看过我单步执行的都能运行到下图这里 这里得注意了,有三个跳转。。这就是FSG壳的坑点处 第一个js 向上跳的,不执行的,直接看第二个jnz。 第二个jnz 它直接跳过了下一个jump指令。。这就是坑点。。(因为第三个jump就是跳往OEP处),千万不能执行这个指令,很多操作,直接F4,或者直接改动标志寄存器让这个条件跳转不成立即可。 第三个jmp(跳往OEP处) OEP处,ESP值 0x18
手动脱壳技巧总结
93Storm
04-24 530
1、  壳名:PECompact 2.x -> Jeremy Collake 脱壳方式:采用ESP定律进行脱壳 2、后序会慢慢总结进行补充。
FSG2.0脱壳记录
Cosmopolitan的博客
04-04 937
想要加壳文件的可以评论留言。。 1.现用PEId查一下壳,发现是FSG压缩壳 2.载入od,是fsg的入口特征 3.od往下到 jmp dword ptr:[ebx+0xc],下断点 4.F9 运行,执行到jmp,跳转到这里 5.到oep,删除模块分析 6.后面用LordPe dump,Import REC修复导入表,这里不再赘述。 ...
简单脱壳教程笔记(6)---手脱FSG
oBuYiSeng的博客
03-19 4583
本笔记是针对ximo早期发的脱壳基础视频教程,整理的笔记。本笔记用到的工具下载地址: http://download.csdn.net/detail/obuyiseng/9465972 简介: FSG壳是一款压缩壳。 工具:ExeinfoPE或PEid、OD、LordPE、ImportREConstructor 脱壳文件:04.手脱FSG.rar 寻找OEP
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值