手動(dòng)脫殼入門第十五篇 FSG 1.33
互聯(lián)網(wǎng) 發(fā)布時(shí)間:2008-10-08 19:04:31 作者:佚名
我要評(píng)論

【脫文標(biāo)題】 手動(dòng)脫殼入門第十五篇 FSG 1.33
【脫文作者】 weiyi75[Dfcg]
【作者郵箱】 weiyi75@sohu.com
【作者主頁】 Dfcg官方大本營(yíng)
【使用工具】 Peid,Ollydbg,ImportREC,Loadpe
【脫殼平臺(tái)】 Win2K/XP
【軟件名稱】 Unpackme
【軟件簡(jiǎn)介】
【脫文標(biāo)題】 手動(dòng)脫殼入門第十五篇 FSG 1.33
【脫文作者】 weiyi75[Dfcg]
【作者郵箱】 weiyi75@sohu.com
【作者主頁】 Dfcg官方大本營(yíng)
【使用工具】 Peid,Ollydbg,ImportREC,Loadpe
【脫殼平臺(tái)】 Win2K/XP
【軟件名稱】 Unpackme
【軟件簡(jiǎn)介】 Loveboom用VB寫的一個(gè)FSG壓縮的脫殼練習(xí)程序
【軟件大小】 2.65 KB
FSG 1.33.rar
【加殼方式】 FSG 1.33 -> dulek/xt
【保護(hù)方式】 FSG壓縮殼
【脫殼聲明】 我是一只小菜鳥,偶得一點(diǎn)心得,愿與大家分享:)
--------------------------------------------------------------------------------
【脫殼內(nèi)容】
首先Peid查殼,為FSG 1.33 -> dulek/xt,OD載入運(yùn)行,無任何異常,判斷其為壓縮殼。
00404B58 > BE A4014000 mov esi, fsg1_33.004001A4 //外殼入口。
00404B5D AD lods dword ptr ds:[esi]
00404B5E 93 xchg eax, ebx
00404B5F AD lods dword ptr ds:[esi]
00404B60 97 xchg eax, edi
00404B61 AD lods dword ptr ds:[esi]
00404B62 56 push esi
00404B63 96 xchg eax, esi
00404B64 B2 80 mov dl, 80
00404B66 A4 movs byte ptr es:[edi], byte ptr ds:[esi>
00404B67 B6 80 mov dh, 80
00404B69 FF13 call dword ptr ds:[ebx]
00404B6B ^ 73 F9 jnb short fsg1_33.00404B66
00404B6D 33C9 xor ecx, ecx
00404B6F FF13 call dword ptr ds:[ebx]
00404B71 73 16 jnb short fsg1_33.00404B89
00404B73 33C0 xor eax, eax
00404B75 FF13 call dword ptr ds:[ebx]
00404B77 73 1F jnb short fsg1_33.00404B98
打開內(nèi)存鏡像,它工作區(qū)段就是404000 resources段里面,內(nèi)存鏡像斷點(diǎn)沒有作用。它也沒有用PUSHAD等語句,ESP定律也不能用。據(jù)說FSG 1.33還有變形版本,單步慢慢跟蹤太費(fèi)時(shí)間,下API斷點(diǎn),也慢。
對(duì)付它最好的方法就是模擬跟蹤,因?yàn)樗鼪]有SEH,模擬跟蹤最好不過了。
內(nèi)存鏡像,項(xiàng)目 13
地址=00404000
大小=00001000 (4096.)
Owner=fsg1_33 00400000
區(qū)段=
包含=SFX,imports,resources // 當(dāng)前段是在404000里面。
類型=Imag 01001002
訪問=R
初始訪問=RWE
內(nèi)存鏡像,項(xiàng)目 12
地址=00401000
大小=00003000 (12288.)
Owner=fsg1_33 00400000
區(qū)段=
包含=code //Oep肯定是在Code段里面。不管FSG在SFX,imports,resources區(qū)段里面解壓,循環(huán)搞什么飛機(jī)。最后肯定要跨段訪問401000
Code段。
類型=Imag 01001002
訪問=R
初始訪問=RWE
于是,命令行下
tc eip BE A4014000 mov esi, fsg1_33.004001A4 //外殼入口。
00404B5D AD lods dword ptr ds:[esi]
00404B5E 93 xchg eax, ebx
00404B5F AD lods dword ptr ds:[esi]
00404B60 97 xchg eax, edi
00404B61 AD lods dword ptr ds:[esi]
00404B62 56 push esi
00404B63 96 xchg eax, esi
00404B64 B2 80 mov dl, 80
00404B66 A4 movs byte ptr es:[edi], byte ptr ds:[esi>
00404B67 B6 80 mov dh, 80
00404B69 FF13 call dword ptr ds:[ebx]
00404B6B ^ 73 F9 jnb short fsg1_33.00404B66
00404B6D 33C9 xor ecx, ecx
00404B6F FF13 call dword ptr ds:[ebx]
00404B71 73 16 jnb short fsg1_33.00404B89
00404B73 33C0 xor eax, eax
00404B75 FF13 call dword ptr ds:[ebx]
00404B77 73 1F jnb short fsg1_33.00404B98
00404B79 B6 80 mov dh, 80
00404B7B 41 inc ecx
00404B7C B0 10 mov al, 10
.........................................................................................
命令行
bp GetModuleHandleA
77E6AB06 >&nbs
【脫文作者】 weiyi75[Dfcg]
【作者郵箱】 weiyi75@sohu.com
【作者主頁】 Dfcg官方大本營(yíng)
【使用工具】 Peid,Ollydbg,ImportREC,Loadpe
【脫殼平臺(tái)】 Win2K/XP
【軟件名稱】 Unpackme
【軟件簡(jiǎn)介】 Loveboom用VB寫的一個(gè)FSG壓縮的脫殼練習(xí)程序
【軟件大小】 2.65 KB
FSG 1.33.rar
【加殼方式】 FSG 1.33 -> dulek/xt
【保護(hù)方式】 FSG壓縮殼
【脫殼聲明】 我是一只小菜鳥,偶得一點(diǎn)心得,愿與大家分享:)
--------------------------------------------------------------------------------
【脫殼內(nèi)容】
首先Peid查殼,為FSG 1.33 -> dulek/xt,OD載入運(yùn)行,無任何異常,判斷其為壓縮殼。
00404B58 > BE A4014000 mov esi, fsg1_33.004001A4 //外殼入口。
00404B5D AD lods dword ptr ds:[esi]
00404B5E 93 xchg eax, ebx
00404B5F AD lods dword ptr ds:[esi]
00404B60 97 xchg eax, edi
00404B61 AD lods dword ptr ds:[esi]
00404B62 56 push esi
00404B63 96 xchg eax, esi
00404B64 B2 80 mov dl, 80
00404B66 A4 movs byte ptr es:[edi], byte ptr ds:[esi>
00404B67 B6 80 mov dh, 80
00404B69 FF13 call dword ptr ds:[ebx]
00404B6B ^ 73 F9 jnb short fsg1_33.00404B66
00404B6D 33C9 xor ecx, ecx
00404B6F FF13 call dword ptr ds:[ebx]
00404B71 73 16 jnb short fsg1_33.00404B89
00404B73 33C0 xor eax, eax
00404B75 FF13 call dword ptr ds:[ebx]
00404B77 73 1F jnb short fsg1_33.00404B98
打開內(nèi)存鏡像,它工作區(qū)段就是404000 resources段里面,內(nèi)存鏡像斷點(diǎn)沒有作用。它也沒有用PUSHAD等語句,ESP定律也不能用。據(jù)說FSG 1.33還有變形版本,單步慢慢跟蹤太費(fèi)時(shí)間,下API斷點(diǎn),也慢。
對(duì)付它最好的方法就是模擬跟蹤,因?yàn)樗鼪]有SEH,模擬跟蹤最好不過了。
內(nèi)存鏡像,項(xiàng)目 13
地址=00404000
大小=00001000 (4096.)
Owner=fsg1_33 00400000
區(qū)段=
包含=SFX,imports,resources // 當(dāng)前段是在404000里面。
類型=Imag 01001002
訪問=R
初始訪問=RWE
內(nèi)存鏡像,項(xiàng)目 12
地址=00401000
大小=00003000 (12288.)
Owner=fsg1_33 00400000
區(qū)段=
包含=code //Oep肯定是在Code段里面。不管FSG在SFX,imports,resources區(qū)段里面解壓,循環(huán)搞什么飛機(jī)。最后肯定要跨段訪問401000
Code段。
類型=Imag 01001002
訪問=R
初始訪問=RWE
于是,命令行下
tc eip BE A4014000 mov esi, fsg1_33.004001A4 //外殼入口。
00404B5D AD lods dword ptr ds:[esi]
00404B5E 93 xchg eax, ebx
00404B5F AD lods dword ptr ds:[esi]
00404B60 97 xchg eax, edi
00404B61 AD lods dword ptr ds:[esi]
00404B62 56 push esi
00404B63 96 xchg eax, esi
00404B64 B2 80 mov dl, 80
00404B66 A4 movs byte ptr es:[edi], byte ptr ds:[esi>
00404B67 B6 80 mov dh, 80
00404B69 FF13 call dword ptr ds:[ebx]
00404B6B ^ 73 F9 jnb short fsg1_33.00404B66
00404B6D 33C9 xor ecx, ecx
00404B6F FF13 call dword ptr ds:[ebx]
00404B71 73 16 jnb short fsg1_33.00404B89
00404B73 33C0 xor eax, eax
00404B75 FF13 call dword ptr ds:[ebx]
00404B77 73 1F jnb short fsg1_33.00404B98
00404B79 B6 80 mov dh, 80
00404B7B 41 inc ecx
00404B7C B0 10 mov al, 10
.........................................................................................
命令行
bp GetModuleHandleA
77E6AB06 >&nbs
相關(guān)文章
- “CMOS密碼”就是通常所說的“開機(jī)密碼”,主要是為了防止別人使用自已的計(jì)算機(jī),設(shè)置的一個(gè)屏障2023-08-01
QQScreenShot之逆向并提取QQ截圖--OCR和其他功能
上一篇文章逆向并提取QQ截圖沒有提取OCR功能, 再次逆向我發(fā)現(xiàn)是可以本地調(diào)用QQ的OCR的,但翻譯按鈕確實(shí)沒啥用, 于是Patch了翻譯按鈕事件, 改為了將截圖用百度以圖搜圖搜索.2023-02-04- QQ截圖是我用過的最好用的截圖工具, 由于基本不在電腦上登QQ了, 于是就想將其提取出獨(dú)立版目前除了屏幕錄制功能其他都逆出來了, 在此分享一下2023-02-04
非系統(tǒng)分區(qū)使用BitLocker加密導(dǎo)致軟件無法安裝的解決方法
很多電腦用戶在考慮自己電腦磁盤分區(qū)安全時(shí)會(huì)采用 Windows 自帶的 BitLocker 加密工具對(duì)電腦磁盤分區(qū)進(jìn)行加密。但有些人加密后就會(huì)忘記自己設(shè)置的密碼從而導(dǎo)致在安裝其它軟2020-11-25防止離職員工帶走客戶、防止內(nèi)部員工泄密、避免華為員工泄密事件的發(fā)生
這篇文章為大家詳細(xì)介紹了如何才能防止離職員工帶走客戶、防止內(nèi)部員工泄密、避免華為員工泄密事件的發(fā)生,具有一定的參考價(jià)值,感興趣的小伙伴們可以參考一下2017-06-27徹底防止計(jì)算機(jī)泄密、重要涉密人員離職泄密、涉密人員離崗離職前防范舉
近些年企業(yè)商業(yè)機(jī)密泄漏的事件屢有發(fā)生,這篇文章主要教大家如何徹底防止計(jì)算機(jī)泄密、重要涉密人員離職泄密、告訴大家涉密人員離崗離職前的防范舉措,具有一定的參考價(jià)值,2017-06-27量子計(jì)算機(jī)輕松破解加密算法 如何破解加密算法?
最近有電腦用戶反應(yīng)量子計(jì)算機(jī)可以破解下載的所有的加密算法嗎?其實(shí)也不是不可以,下面虛擬就為大家講解買臺(tái)量子計(jì)算機(jī),如何分分鐘破解加密算法2016-09-26怎么破解Webshell密碼 Burpsuite破解Webshell密碼圖文教程
webshell是以asp、php、jsp或者cgi等網(wǎng)頁文件形式存在的一種命令執(zhí)行環(huán)境,一種網(wǎng)頁后門。黑客通常會(huì)通過它控制別人網(wǎng)絡(luò)服務(wù)器,那么怎么破解webshell密碼呢?一起來看看吧2016-09-19針對(duì)Linux系統(tǒng)全盤加密的啟動(dòng)攻擊
本文討論了針對(duì)Linux系統(tǒng)全盤加密的冷啟動(dòng)攻擊,大家都認(rèn)為這種攻擊是可行的,但執(zhí)行這么一次攻擊有多難?攻擊的可行性有多少呢?需要的朋友可以參考下2015-12-28防止泄露公司機(jī)密、企業(yè)數(shù)據(jù)防泄密軟件排名、電腦文件加密軟件排行
面對(duì)日漸嚴(yán)重的內(nèi)部泄密事件,我們?nèi)绾问刈o(hù)企業(yè)的核心信息,如何防止內(nèi)部泄密也就成了擺在各個(gè)企業(yè)領(lǐng)導(dǎo)面前的一大問題。其實(shí),針對(duì)內(nèi)網(wǎng)安全,防止內(nèi)部信息泄漏早已有了比較2015-12-17