脱壳0-FSG壳-详细流程

【脱壳0-FSG壳-详细流程】的更多相关文章

脱壳0-FSG壳-详细流程

目录 @ 1 拿到当前加壳程序,用exeinfo/PeID 看一下信息可以看出是很老的壳FSG. 分析: Entry Point : 000000154,熟悉PE结构的知道,入口点(代码)揉进PE头去了. 在WIN10 以来在(被限制了)PE 头中不能有执行代码,只有在WIN7 及其以前的机器上,此程序才能执行.所以用虚拟机来脱这个很老的壳,在目前(本人)win10的机器上无法运行. 2 使用LordPE 观察以下PE结构点击查看区段信息: 分析: 发现区段有两个,都把区段名抹去了…

手工脱壳之FSG压缩壳-IAT表修复

目录一.工具及壳介绍二.脱壳 2.1.单步跟踪脱壳 2.2.IAT修复三.程序脱壳后运行截图四.个人总结五.附件一.工具及壳介绍使用工具:Ollydbg.PEID.ImportREC.LoadPE FSG壳 2.0: 二.脱壳 2.1.单步跟踪脱壳因为FSG是压缩壳,所以脱壳最应该尝试的是ESP定律,其次就是单步跟踪,使用OD载入程序,发现入口没有PUSHAD/PUSHFD指令,单步观察堆栈变化程序一开始并没有保存环境,遇到这种情况单步继续跟踪,发现有解密代码的地方继续单步跟…

脱壳系列_0_FSG壳_详细版

---恢复内容开始--- 1 查看信息使用ExeInfoPe查看此壳程序可以看出是很老的FSG壳. 分析: Entry Point : 000000154,熟悉PE结构的知道,入口点(代码)揉进PE头去了. 在WIN10 以来在(被限制了)PE 头中不能有执行代码,只有在WIN7 及其以前的机器上,此程序才能执行.所以用虚拟机来脱这个很老的壳,在目前(本人)win10的机器上无法运行. 2 使用LordPE 观察以下PE结构点击查看区段信息: 分析: 发现区段有两个,都把区段名抹去了:且…

填坑专记-手脱FSG壳

妈呀,脱FGS壳真的是坎坷颇多,多亏吾爱破解前辈们的帮忙.我一定要记录下来,省的以后再无法解决. 已经查看是FSG壳了.找到入口也容易了.重点就是脱壳并修复好它. 脱壳 OEP为: 使用LordPE修整此文件镜像大小,然后完整转存为dumped.exe. 打开Import REC进行基础修复.如下,标红是依次要进行的操作. 最后转储到文件生成dumped_.exe,打开它,出错. 好,可以确定要使用深度修复了.这是重点,重点,重点. 脱壳之深度修复在OE…

<逆向学习第三天>手动脱FSG壳，修复IAT。

其实对于简单的壳来说,脱壳常用的方法也无非是那几种,但是每种有每种的好处,具体使用那种方法视情况而定,我今天学习的这个壳很简单,但是重点在于修复IAT. 一.查壳: FSG 2.0的壳. 二.脱壳: 上篇随笔所说的3种方法都可以使用,单步法,内存2次镜像,ESP,这里内存2次镜像我们发现没有.rsrc区段,所以我们可以直接从地址为00401000的地方下断点,运行. 脱壳过程这里就不再赘述,最后来到OEP进行脱壳. 看这个特征可以看得出,我们最近脱壳的程序的OEP特征全是这样,典型的VC++程序…

USB枚举的详细流程

附一个很好的枚举过程的详细流程: ◆ 用户将一个USB设备插入USB端口,主机为端口供电,设备此时处于上电状态.◆ 主机检测设备.◆ 集线器使用中断通道将事件报告给主机.◆ 主机发送Get_Port_Status(读端口状态)请求,以获取更多的设备信息.◆ 集线器检测设备是低速运行还是高速运行,并将此信息送给主机,这是对Get_Port_Status请求的响应.◆ 主机发送Set_Port_Feature(写端口状态)请求给集线器,要求它复位端口.◆ 集线器对设备复位.◆ 主机使用Chirp K…