手工脱壳之 FSG压缩壳【IAT反修复】
一、工具及壳介绍
使用工具:Ollydbg,PEID,ImportREC,LoadPE
FSG壳 2.0:
二、脱壳
1、追踪 修复IAT表代码
入口处,没有pushad特征,无法使用ESP定律。
查看导入表信息。
推测壳利用LoadLibrary 和 GetProcAddress 修复exe IAT表。
下API断点。
小技巧,Alt + F9 返回用户界面。
分析得出是修复exe IAT表的循环。
跳出循环。
来到OEP。
Dump进程内存。
导入表少的可怜。而且此程序是Win32程序,却没有加载用户界面相关的DLL。
2、IAT反修复
找一个引用IAT的地方,查看IAT表。
发现模块间的间隙被填成0xFFFFFFFF。默认情况下是0x00000000,用于解析导入表时的边界判断,所以ImportREC才解析不出。
填为0x00000000。
重走Dump流程。
由下图可知,kernel32转ntdll的函数,上面的导入表信息正常。
3、脱壳成功
个人总结:
前面的比较容易,后面的比较坑。
附件:
FSG.exe
KID
转载于:https://www.cnblogs.com/KIDofot/p/8602194.html
手工脱壳之 FSG压缩壳【IAT反修复】相关推荐
- 006 kkrunchy_Ryd之类FSG压缩壳
文章目录 前言 查壳 OD脱壳 修复导入表 前言 最近一直在看脱壳系列的教程,国内能找到的脱壳视频几乎都看了个遍,大部分由于年代实在是太久了,附带的示例程序完全不能运行,或者是某些未知原因用相同的步骤 ...
- 手工脱壳之AsPack压缩脱壳-随机基址
一.工具及壳介绍 二.脱壳 1.ESP定律脱壳 2.单步跟踪脱壳 3.基址重定位的修复 一.工具及壳介绍 使用工具:Ollydbg.PEID.ImportREC.LoadPE.010 Editor 查 ...
- 逆向破解程序脱壳篇-压缩壳
一.普及 What?壳 所谓"壳"就是专门压缩的工具. 这里的压缩并不是我们平时使用的RAR.ZIP这些工具的压缩,壳的压缩指的是针对exe.com.和dll等程序文件进行压缩,在 ...
- 脱壳入门初级教学(第四课 常见压缩壳与加密壳)
转自:http://bestmk.cn/thread-491.htm 加壳软件按照其加壳目的和作用,可分为两类:一是压缩(Packers),二是保护(Protectors).压缩这类壳主要目的是减小程 ...
- 32. 脱壳篇-简单带壳的程序、反调试带壳的程序(堆栈平衡原理找OEP、代码段设置断点)
第一个程序 OEP为46B6F9 PE头位置为46B000到46D000区间,have a nice day! 就是壳 一定要点上箭头指向处,dump改名 清除区段 ,删除壳,保存 第二个程序(市面上 ...
- 脱壳入门(三)之UPX压缩壳
脱壳入门(三)之UPX压缩壳 一.找OEP 查壳:UPX壳.链接器版本2.25(可能是Delphi程序).区段信息 根据ESP定律寻找OEP OEP定律原理:壳代码就像一个函数,进入时会开辟堆栈.保存 ...
- 【2022.1.3】手脱压缩壳练习(含练习exe)
[2022.1.3]手脱压缩壳练习(含练习exe) 文章目录 [2022.1.3]手脱压缩壳练习(含练习exe) 0.简介 1.单步跟踪法 (#)方法介绍 (0)练习exe下载 (1).查看源程序 ( ...
- nSPack 手工脱壳过程
nSPack 手工脱壳过程 由于本人第一次进行手工去壳,记录一下过程~ 这篇文章以XCTF中的reverse进阶题crackme为例子 题目链接: 链接:https://pan.baidu.com/s ...
- 什么是加壳和脱壳技术?加壳和脱壳技术是什么意思?
什么是加壳和脱壳技术?加壳和脱壳技术是什么意思? 加壳,是一种通过一系列数学运算,将可执行程序文件或动态链接库文件的编码进行改变(目前还有一些加壳软件可以压缩.加密驱动程序),以达到缩小文件体积或加密 ...
最新文章
- TPAMI 2021 | 深度赋智AutoDL系列竞赛世界冠军方案首次公开
- 关系数据库SQL之可编程性存储过程
- HarmonyOS之常用布局AdaptiveBoxLayout的使用
- javascript option 菜单图标_苹果电脑上神奇的Option键 巧用option键提升效率
- MySQL GROUP BY 语句
- 代码加载 Prefabs
- 校门外的树和memset
- Linux运行多个openssl,linux – 使用多选项解释rsa的openssl速度输出
- ubuntu18.04下载显卡驱动+CUDA+CUDNN
- UE4 蓝图事件调度器Event Dispatcher
- 拉卡拉支付最新支付方式预览——刷脸支付上线
- 如何对客户行为进行数据分析?
- 【缓存】缓存更新策略
- Android 开发常见问题汇总
- 计算机类部分核心期刊说明
- 伽卡他卡使用教程_【伽卡他卡电子教室教师端介绍】伽卡他卡电子教室教师端特色_伽卡他卡电子教室教师端说明-最笨下载...
- Spring Boot+Vue+阿里云OOS实现图片上传
- nodejs常用的黑窗口命令
- 【17.12.22.B】
- WEB攻防-通用漏洞SQL读写注入ACCESS偏移注入MYSQLMSSQLPostgreSQL