手动脱壳入门第十五篇 FSG 1.33
互联网 发布时间:2008-10-08 19:04:31 作者:佚名 
我要评论
我要评论【脱文标题】 手动脱壳入门第十五篇 FSG 1.33
【脱文作者】 weiyi75[Dfcg]
【作者邮箱】 weiyi75@sohu.com
【作者主页】 Dfcg官方大本营
【使用工具】 Peid,Ollydbg,ImportREC,Loadpe
【脱壳平台】 Win2K/XP
【软件名称】 Unpackme
【软件简介】
【脱文标题】 手动脱壳入门第十五篇 FSG 1.33
【脱文作者】 weiyi75[Dfcg]
【作者邮箱】 weiyi75@sohu.com
【作者主页】 Dfcg官方大本营
【使用工具】 Peid,Ollydbg,ImportREC,Loadpe
【脱壳平台】 Win2K/XP
【软件名称】 Unpackme
【软件简介】 Loveboom用VB写的一个FSG压缩的脱壳练习程序
【软件大小】 2.65 KB
FSG 1.33.rar
【加壳方式】 FSG 1.33 -> dulek/xt
【保护方式】 FSG压缩壳
【脱壳声明】 我是一只小菜鸟,偶得一点心得,愿与大家分享:)
--------------------------------------------------------------------------------
【脱壳内容】
首先Peid查壳,为FSG 1.33 -> dulek/xt,OD载入运行,无任何异常,判断其为压缩壳。
00404B58 > BE A4014000 mov esi, fsg1_33.004001A4 //外壳入口。
00404B5D AD lods dword ptr ds:[esi]
00404B5E 93 xchg eax, ebx
00404B5F AD lods dword ptr ds:[esi]
00404B60 97 xchg eax, edi
00404B61 AD lods dword ptr ds:[esi]
00404B62 56 push esi
00404B63 96 xchg eax, esi
00404B64 B2 80 mov dl, 80
00404B66 A4 movs byte ptr es:[edi], byte ptr ds:[esi>
00404B67 B6 80 mov dh, 80
00404B69 FF13 call dword ptr ds:[ebx]
00404B6B ^ 73 F9 jnb short fsg1_33.00404B66
00404B6D 33C9 xor ecx, ecx
00404B6F FF13 call dword ptr ds:[ebx]
00404B71 73 16 jnb short fsg1_33.00404B89
00404B73 33C0 xor eax, eax
00404B75 FF13 call dword ptr ds:[ebx]
00404B77 73 1F jnb short fsg1_33.00404B98
打开内存镜像,它工作区段就是404000 resources段里面,内存镜像断点没有作用。它也没有用PUSHAD等语句,ESP定律也不能用。据说FSG 1.33还有变形版本,单步慢慢跟踪太费时间,下API断点,也慢。
对付它最好的方法就是模拟跟踪,因为它没有SEH,模拟跟踪最好不过了。
内存镜像,项目 13
地址=00404000
大小=00001000 (4096.)
Owner=fsg1_33 00400000
区段=
包含=SFX,imports,resources // 当前段是在404000里面。
类型=Imag 01001002
访问=R
初始访问=RWE
内存镜像,项目 12
地址=00401000
大小=00003000 (12288.)
Owner=fsg1_33 00400000
区段=
包含=code //Oep肯定是在Code段里面。不管FSG在SFX,imports,resources区段里面解压,循环搞什么飞机。最后肯定要跨段访问401000
Code段。
类型=Imag 01001002
访问=R
初始访问=RWE
于是,命令行下
tc eip BE A4014000 mov esi, fsg1_33.004001A4 //外壳入口。
00404B5D AD lods dword ptr ds:[esi]
00404B5E 93 xchg eax, ebx
00404B5F AD lods dword ptr ds:[esi]
00404B60 97 xchg eax, edi
00404B61 AD lods dword ptr ds:[esi]
00404B62 56 push esi
00404B63 96 xchg eax, esi
00404B64 B2 80 mov dl, 80
00404B66 A4 movs byte ptr es:[edi], byte ptr ds:[esi>
00404B67 B6 80 mov dh, 80
00404B69 FF13 call dword ptr ds:[ebx]
00404B6B ^ 73 F9 jnb short fsg1_33.00404B66
00404B6D 33C9 xor ecx, ecx
00404B6F FF13 call dword ptr ds:[ebx]
00404B71 73 16 jnb short fsg1_33.00404B89
00404B73 33C0 xor eax, eax
00404B75 FF13 call dword ptr ds:[ebx]
00404B77 73 1F jnb short fsg1_33.00404B98
00404B79 B6 80 mov dh, 80
00404B7B 41 inc ecx
00404B7C B0 10 mov al, 10
.........................................................................................
命令行
bp GetModuleHandleA
77E6AB06 >&nbs
【脱文作者】 weiyi75[Dfcg]
【作者邮箱】 weiyi75@sohu.com
【作者主页】 Dfcg官方大本营
【使用工具】 Peid,Ollydbg,ImportREC,Loadpe
【脱壳平台】 Win2K/XP
【软件名称】 Unpackme
【软件简介】 Loveboom用VB写的一个FSG压缩的脱壳练习程序
【软件大小】 2.65 KB
FSG 1.33.rar
【加壳方式】 FSG 1.33 -> dulek/xt
【保护方式】 FSG压缩壳
【脱壳声明】 我是一只小菜鸟,偶得一点心得,愿与大家分享:)
--------------------------------------------------------------------------------
【脱壳内容】
首先Peid查壳,为FSG 1.33 -> dulek/xt,OD载入运行,无任何异常,判断其为压缩壳。
00404B58 > BE A4014000 mov esi, fsg1_33.004001A4 //外壳入口。
00404B5D AD lods dword ptr ds:[esi]
00404B5E 93 xchg eax, ebx
00404B5F AD lods dword ptr ds:[esi]
00404B60 97 xchg eax, edi
00404B61 AD lods dword ptr ds:[esi]
00404B62 56 push esi
00404B63 96 xchg eax, esi
00404B64 B2 80 mov dl, 80
00404B66 A4 movs byte ptr es:[edi], byte ptr ds:[esi>
00404B67 B6 80 mov dh, 80
00404B69 FF13 call dword ptr ds:[ebx]
00404B6B ^ 73 F9 jnb short fsg1_33.00404B66
00404B6D 33C9 xor ecx, ecx
00404B6F FF13 call dword ptr ds:[ebx]
00404B71 73 16 jnb short fsg1_33.00404B89
00404B73 33C0 xor eax, eax
00404B75 FF13 call dword ptr ds:[ebx]
00404B77 73 1F jnb short fsg1_33.00404B98
打开内存镜像,它工作区段就是404000 resources段里面,内存镜像断点没有作用。它也没有用PUSHAD等语句,ESP定律也不能用。据说FSG 1.33还有变形版本,单步慢慢跟踪太费时间,下API断点,也慢。
对付它最好的方法就是模拟跟踪,因为它没有SEH,模拟跟踪最好不过了。
内存镜像,项目 13
地址=00404000
大小=00001000 (4096.)
Owner=fsg1_33 00400000
区段=
包含=SFX,imports,resources // 当前段是在404000里面。
类型=Imag 01001002
访问=R
初始访问=RWE
内存镜像,项目 12
地址=00401000
大小=00003000 (12288.)
Owner=fsg1_33 00400000
区段=
包含=code //Oep肯定是在Code段里面。不管FSG在SFX,imports,resources区段里面解压,循环搞什么飞机。最后肯定要跨段访问401000
Code段。
类型=Imag 01001002
访问=R
初始访问=RWE
于是,命令行下
tc eip BE A4014000 mov esi, fsg1_33.004001A4 //外壳入口。
00404B5D AD lods dword ptr ds:[esi]
00404B5E 93 xchg eax, ebx
00404B5F AD lods dword ptr ds:[esi]
00404B60 97 xchg eax, edi
00404B61 AD lods dword ptr ds:[esi]
00404B62 56 push esi
00404B63 96 xchg eax, esi
00404B64 B2 80 mov dl, 80
00404B66 A4 movs byte ptr es:[edi], byte ptr ds:[esi>
00404B67 B6 80 mov dh, 80
00404B69 FF13 call dword ptr ds:[ebx]
00404B6B ^ 73 F9 jnb short fsg1_33.00404B66
00404B6D 33C9 xor ecx, ecx
00404B6F FF13 call dword ptr ds:[ebx]
00404B71 73 16 jnb short fsg1_33.00404B89
00404B73 33C0 xor eax, eax
00404B75 FF13 call dword ptr ds:[ebx]
00404B77 73 1F jnb short fsg1_33.00404B98
00404B79 B6 80 mov dh, 80
00404B7B 41 inc ecx
00404B7C B0 10 mov al, 10
.........................................................................................
命令行
bp GetModuleHandleA
77E6AB06 >&nbs
相关文章
- “CMOS密码”就是通常所说的“开机密码”,主要是为了防止别人使用自已的计算机,设置的一个屏障2023-08-01
QQScreenShot之逆向并提取QQ截图--OCR和其他功能
上一篇文章逆向并提取QQ截图没有提取OCR功能, 再次逆向我发现是可以本地调用QQ的OCR的,但翻译按钮确实没啥用, 于是Patch了翻译按钮事件, 改为了将截图用百度以图搜图搜索.2023-02-04
QQ截图是我用过的最好用的截图工具, 由于基本不在电脑上登QQ了, 于是就想将其提取出独立版目前除了屏幕录制功能其他都逆出来了, 在此分享一下2023-02-04
非系统分区使用BitLocker加密导致软件无法安装的解决方法
很多电脑用户在考虑自己电脑磁盘分区安全时会采用 Windows 自带的 BitLocker 加密工具对电脑磁盘分区进行加密。但有些人加密后就会忘记自己设置的密码从而导致在安装其它软2020-11-25
防止离职员工带走客户、防止内部员工泄密、避免华为员工泄密事件的发生
这篇文章为大家详细介绍了如何才能防止离职员工带走客户、防止内部员工泄密、避免华为员工泄密事件的发生,具有一定的参考价值,感兴趣的小伙伴们可以参考一下2017-06-27
彻底防止计算机泄密、重要涉密人员离职泄密、涉密人员离岗离职前防范举
近些年企业商业机密泄漏的事件屡有发生,这篇文章主要教大家如何彻底防止计算机泄密、重要涉密人员离职泄密、告诉大家涉密人员离岗离职前的防范举措,具有一定的参考价值,2017-06-27- 最近有电脑用户反应量子计算机可以破解下载的所有的加密算法吗?其实也不是不可以,下面虚拟就为大家讲解买台量子计算机,如何分分钟破解加密算法2016-09-26
怎么破解Webshell密码 Burpsuite破解Webshell密码图文教程
webshell是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境,一种网页后门。黑客通常会通过它控制别人网络服务器,那么怎么破解webshell密码呢?一起来看看吧2016-09-19- 本文讨论了针对Linux系统全盘加密的冷启动攻击,大家都认为这种攻击是可行的,但执行这么一次攻击有多难?攻击的可行性有多少呢?需要的朋友可以参考下2015-12-28
防止泄露公司机密、企业数据防泄密软件排名、电脑文件加密软件排行
面对日渐严重的内部泄密事件,我们如何守护企业的核心信息,如何防止内部泄密也就成了摆在各个企业领导面前的一大问题。其实,针对内网安全,防止内部信息泄漏早已有了比较2015-12-17
最新评论