首页
社区
课程
招聘
请教一个象FSG却不是的怪壳
发表于: 2004-10-12 13:01 5321

请教一个象FSG却不是的怪壳

2004-10-12 13:01
5321
PEiD说是FSG1.33,可用脱壳机脱不了。手脱的时候发现这个程序不是用FSG压缩的。不知道有没有人知道这到底是什么壳?有没有现成的脱壳机啊?

seg002:004E263E start           proc near
seg002:004E263E                 mov     esi, offset off_400198
seg002:004E2643                 lodsd
seg002:004E2644                 xchg    eax, edi
seg002:004E2645                 lodsd
seg002:004E2646                 push    esi
seg002:004E2647                 xchg    eax, esi
seg002:004E2648
seg002:004E2648 loc_4E2648:                             ; CODE XREF: start+B2j
seg002:004E2648                 or      ebp, 0FFFFFFFFh
seg002:004E264B                 jmp     short loc_4E2657
seg002:004E264D ; ---------------------------------------------------------------------------
seg002:004E264D
seg002:004E264D loc_4E264D:                             ; CODE XREF: start+1Dj
seg002:004E264D                 mov     bl, [esi]
seg002:004E264F                 inc     esi
seg002:004E2650                 mov     [edi], bl
seg002:004E2652                 inc     edi
seg002:004E2653
seg002:004E2653 loc_4E2653:                             ; CODE XREF: start+9Ej
seg002:004E2653                 add     eax, eax
seg002:004E2655                 jnz     short loc_4E265B
seg002:004E2657
seg002:004E2657 loc_4E2657:                             ; CODE XREF: start+Dj
seg002:004E2657                 lodsd
seg002:004E2658                 stc
seg002:004E2659                 adc     eax, eax
seg002:004E265B
seg002:004E265B loc_4E265B:                             ; CODE XREF: start+17j
seg002:004E265B                 jb      short loc_4E264D
seg002:004E265D                 sub     ebx, ebx
seg002:004E265F                 inc     ebx
seg002:004E2660
seg002:004E2660 loc_4E2660:                             ; CODE XREF: start+42j
seg002:004E2660                 add     eax, eax
seg002:004E2662                 jnz     short loc_4E2668
seg002:004E2664                 lodsd
seg002:004E2665                 stc
seg002:004E2666                 adc     eax, eax
seg002:004E2668
seg002:004E2668 loc_4E2668:                             ; CODE XREF: start+24j
seg002:004E2668                 adc     ebx, ebx
seg002:004E266A                 add     eax, eax
seg002:004E266C                 jnb     short loc_4E2675
seg002:004E266E                 jnz     short loc_4E2682
seg002:004E2670                 lodsd
seg002:004E2671                 adc     eax, eax
seg002:004E2673                 jb      short loc_4E2682
seg002:004E2675
seg002:004E2675 loc_4E2675:                             ; CODE XREF: start+2Ej
seg002:004E2675                 dec     ebx
seg002:004E2676                 add     eax, eax
seg002:004E2678                 jnz     short loc_4E267E
seg002:004E267A                 lodsd
seg002:004E267B                 stc
seg002:004E267C                 adc     eax, eax
seg002:004E267E
seg002:004E267E loc_4E267E:                             ; CODE XREF: start+3Aj
seg002:004E267E                 adc     ebx, ebx
seg002:004E2680                 jmp     short loc_4E2660
seg002:004E2682 ; ---------------------------------------------------------------------------
seg002:004E2682
seg002:004E2682 loc_4E2682:                             ; CODE XREF: start+30j
seg002:004E2682                                         ; start+35j
seg002:004E2682                 xor     ecx, ecx
seg002:004E2684                 sub     ebx, 3
seg002:004E2687                 jb      short loc_4E269A
seg002:004E2689                 shl     ebx, 8
seg002:004E268C                 mov     bl, [esi]
seg002:004E268E                 inc     esi
seg002:004E268F                 xor     ebx, 0FFFFFFFFh
seg002:004E2692                 jz      short loc_4E26E1
seg002:004E2694                 sar     ebx, 1
seg002:004E2696                 mov     ebp, ebx
seg002:004E2698                 jmp     short loc_4E26A2
seg002:004E269A ; ---------------------------------------------------------------------------
seg002:004E269A
seg002:004E269A loc_4E269A:                             ; CODE XREF: start+49j
seg002:004E269A                 add     eax, eax
seg002:004E269C                 jnz     short loc_4E26A2
seg002:004E269E                 lodsd
seg002:004E269F                 stc
seg002:004E26A0                 adc     eax, eax
seg002:004E26A2
seg002:004E26A2 loc_4E26A2:                             ; CODE XREF: start+5Aj
seg002:004E26A2                                         ; start+5Ej
seg002:004E26A2                 adc     ecx, ecx
seg002:004E26A4                 add     eax, eax
seg002:004E26A6                 jnz     short loc_4E26AC
seg002:004E26A8                 lodsd
seg002:004E26A9                 stc
seg002:004E26AA                 adc     eax, eax
seg002:004E26AC
seg002:004E26AC loc_4E26AC:                             ; CODE XREF: start+68j
seg002:004E26AC                 adc     ecx, ecx
seg002:004E26AE                 jnz     short loc_4E26C8
seg002:004E26B0                 inc     ecx
seg002:004E26B1
seg002:004E26B1 loc_4E26B1:                             ; CODE XREF: start+7Fj
seg002:004E26B1                                         ; start+86j
seg002:004E26B1                 add     eax, eax
seg002:004E26B3                 jnz     short loc_4E26B9
seg002:004E26B5                 lodsd
seg002:004E26B6                 stc
seg002:004E26B7                 adc     eax, eax
seg002:004E26B9
seg002:004E26B9 loc_4E26B9:                             ; CODE XREF: start+75j
seg002:004E26B9                 adc     ecx, ecx
seg002:004E26BB                 add     eax, eax
seg002:004E26BD                 jnb     short loc_4E26B1
seg002:004E26BF                 jnz     short loc_4E26C6
seg002:004E26C1                 lodsd
seg002:004E26C2                 adc     eax, eax
seg002:004E26C4                 jnb     short loc_4E26B1
seg002:004E26C6
seg002:004E26C6 loc_4E26C6:                             ; CODE XREF: start+81j
seg002:004E26C6                 inc     ecx
seg002:004E26C7                 inc     ecx
seg002:004E26C8
seg002:004E26C8 loc_4E26C8:                             ; CODE XREF: start+70j
seg002:004E26C8                 cmp     ebp, 0FFFFFB00h
seg002:004E26CE                 adc     ecx, 1
seg002:004E26D1                 lea     edx, [edi+ebp]
seg002:004E26D4
seg002:004E26D4 loc_4E26D4:                             ; CODE XREF: start+9Cj
seg002:004E26D4                 mov     bl, [edx]
seg002:004E26D6                 inc     edx
seg002:004E26D7                 mov     [edi], bl
seg002:004E26D9                 inc     edi
seg002:004E26DA                 loop    loc_4E26D4
seg002:004E26DC                 jmp     loc_4E2653
seg002:004E26E1 ; ---------------------------------------------------------------------------
seg002:004E26E1
seg002:004E26E1 loc_4E26E1:                             ; CODE XREF: start+54j
seg002:004E26E1                 mov     edx, esi
seg002:004E26E3                 pop     esi
seg002:004E26E4                 lodsd
seg002:004E26E5                 dec     eax
seg002:004E26E6                 jz      short loc_4E26F5
seg002:004E26E8                 jns     short loc_4E26EC
seg002:004E26EA                 lodsd
seg002:004E26EB                 push    eax
seg002:004E26EC
seg002:004E26EC loc_4E26EC:                             ; CODE XREF: start+AAj
seg002:004E26EC                 push    esi
seg002:004E26ED                 mov     esi, edx
seg002:004E26EF                 xchg    eax, edi
seg002:004E26F0                 jmp     loc_4E2648
seg002:004E26F5 ; ---------------------------------------------------------------------------
seg002:004E26F5
seg002:004E26F5 loc_4E26F5:                             ; CODE XREF: start+A8j
seg002:004E26F5                 lodsd
seg002:004E26F6                 xchg    eax, ebx
seg002:004E26F7                 pop     esi
seg002:004E26F8
seg002:004E26F8 loc_4E26F8:                             ; CODE XREF: start+C8j
seg002:004E26F8                 inc     esi
seg002:004E26F9                 lodsd
seg002:004E26FA                 xchg    eax, edi
seg002:004E26FB                 push    esi
seg002:004E26FC                 call    dword ptr [ebx]
seg002:004E26FE                 xchg    eax, ebp
seg002:004E26FF
seg002:004E26FF loc_4E26FF:                             ; CODE XREF: start+C4j
seg002:004E26FF                                         ; start+DFj
seg002:004E26FF                 lodsb
seg002:004E2700                 test    al, al
seg002:004E2702                 jnz     short loc_4E26FF
seg002:004E2704                 dec     byte ptr [esi]
seg002:004E2706                 jz      short loc_4E26F8
seg002:004E2708                 jns     short loc_4E270F
seg002:004E270A                 inc     esi
seg002:004E270B                 lodsd
seg002:004E270C                 push    eax
seg002:004E270D                 jmp     short loc_4E2718
seg002:004E270F ; ---------------------------------------------------------------------------
seg002:004E270F
seg002:004E270F loc_4E270F:                             ; CODE XREF: start+CAj
seg002:004E270F                 dec     byte ptr [esi]
seg002:004E2711                 jz      near ptr dword_418895
seg002:004E2717                 push    esi
seg002:004E2718
seg002:004E2718 loc_4E2718:                             ; CODE XREF: start+CFj
seg002:004E2718                 push    ebp
seg002:004E2719                 call    dword ptr [ebx+4]
seg002:004E271C                 stosd
seg002:004E271D                 jmp     short loc_4E26FF

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 1
支持
分享
最新回复 (10)
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
2
FSG 有变形的
Ollydbg
2004-10-12 13:28
0
雪    币: 214
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
你认为这是FSG的变形壳吗?
2004-10-12 14:59
0
雪    币: 221
活跃值: (70)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
要是变形的话PEID应该会报出变形或根本认不出来,应该是深度扫描的误报吧,软件生成什么东西吗?
2004-10-13 18:04
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
5
放个链接看看
2004-10-13 20:34
0
雪    币: 214
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
这是一个我在网上收集的病毒程序,所以不能上传。

通过与FSG1.33比较,我发现程序的流程完全一致,只不过压缩算法不是aPLib了,所以手脱没有什么难度。

不过我还是很想弄清楚这到底是什么壳?是用什么库压缩的?
2004-10-14 00:26
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
7
你找一下fsg-prot

FSG v1.33 Protector bY SMoKE
============================
this is a nice idea to protect executables,
in this case FSG v1.33 packed, this little
tool will protect FSGed files against
unpacking/dumping.
protector's loader will destroy/erase whole
DOS and PE Header on startup.
but check your programs after protecting them.
tested only on Win98SE !
even my UnFSG cant unpack programs protected
with this tool :P

KiNG OF PE, ProcessENG, ProcDump,
Lord PE (without PASTE HEADER FROM DISK option)
all this programs dumped erased header :)

for more questions see source included
its written in pure win32asm :)

softland at freenet.am

SMoKE / HERiTAGE
2004-10-14 00:30
0
雪    币: 214
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
我在google,百度和programmer tools上搜索了一下,没有找到。能不能给一个下载的链接?谢谢。
2004-10-14 00:42
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
9
FSG V1.33 Protector source & FSG V1.33 & unpacker

附件:FSG1.33.rar
2004-10-14 13:22
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
好东东啊
哪里搞到的不管了
先下来看
2004-10-14 20:23
0
雪    币: 214
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
从源程序来看,这个FSG-Protector壳的主要功能是在FSG壳的后面加一个保护层,以清除PE和DOS headers。这和我遇到的壳还是不一样。

不过还是很感谢。
2004-10-15 01:10
0
游客
登录 | 注册 方可回帖
返回
//