请教一个象FSG却不是的怪壳-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

请教一个象FSG却不是的怪壳

发表于: 2004-10-12 13:01 5187

请教一个象FSG却不是的怪壳

zzsx

2004-10-12 13:01

5187

PEiD说是FSG1.33，可用脱壳机脱不了。手脱的时候发现这个程序不是用FSG压缩的。不知道有没有人知道这到底是什么壳？有没有现成的脱壳机啊？

seg002:004E263E start          proc near
seg002:004E263E                mov    esi, offset off_400198
seg002:004E2643                lodsd
seg002:004E2644                xchg eax, edi
seg002:004E2645                lodsd
seg002:004E2646                push esi
seg002:004E2647                xchg eax, esi
seg002:004E2648
seg002:004E2648 loc_4E2648:                            ; CODE XREF: start+B2j
seg002:004E2648                or    ebp, 0FFFFFFFFh
seg002:004E264B                jmp    short loc_4E2657
seg002:004E264D ; ---------------------------------------------------------------------------
seg002:004E264D
seg002:004E264D loc_4E264D:                            ; CODE XREF: start+1Dj
seg002:004E264D                mov    bl, [esi]
seg002:004E264F                inc    esi
seg002:004E2650                mov    [edi], bl
seg002:004E2652                inc    edi
seg002:004E2653
seg002:004E2653 loc_4E2653:                            ; CODE XREF: start+9Ej
seg002:004E2653                add    eax, eax
seg002:004E2655                jnz    short loc_4E265B
seg002:004E2657
seg002:004E2657 loc_4E2657:                            ; CODE XREF: start+Dj
seg002:004E2657                lodsd
seg002:004E2658                stc
seg002:004E2659                adc    eax, eax
seg002:004E265B
seg002:004E265B loc_4E265B:                            ; CODE XREF: start+17j
seg002:004E265B                jb    short loc_4E264D
seg002:004E265D                sub    ebx, ebx
seg002:004E265F                inc    ebx
seg002:004E2660
seg002:004E2660 loc_4E2660:                            ; CODE XREF: start+42j
seg002:004E2660                add    eax, eax
seg002:004E2662                jnz    short loc_4E2668
seg002:004E2664                lodsd
seg002:004E2665                stc
seg002:004E2666                adc    eax, eax
seg002:004E2668
seg002:004E2668 loc_4E2668:                            ; CODE XREF: start+24j
seg002:004E2668                adc    ebx, ebx
seg002:004E266A                add    eax, eax
seg002:004E266C                jnb    short loc_4E2675
seg002:004E266E                jnz    short loc_4E2682
seg002:004E2670                lodsd
seg002:004E2671                adc    eax, eax
seg002:004E2673                jb    short loc_4E2682
seg002:004E2675
seg002:004E2675 loc_4E2675:                            ; CODE XREF: start+2Ej
seg002:004E2675                dec    ebx
seg002:004E2676                add    eax, eax
seg002:004E2678                jnz    short loc_4E267E
seg002:004E267A                lodsd
seg002:004E267B                stc
seg002:004E267C                adc    eax, eax
seg002:004E267E
seg002:004E267E loc_4E267E:                            ; CODE XREF: start+3Aj
seg002:004E267E                adc    ebx, ebx
seg002:004E2680                jmp    short loc_4E2660
seg002:004E2682 ; ---------------------------------------------------------------------------
seg002:004E2682
seg002:004E2682 loc_4E2682:                            ; CODE XREF: start+30j
seg002:004E2682                                        ; start+35j
seg002:004E2682                xor    ecx, ecx
seg002:004E2684                sub    ebx, 3
seg002:004E2687                jb    short loc_4E269A
seg002:004E2689                shl    ebx, 8
seg002:004E268C                mov    bl, [esi]
seg002:004E268E                inc    esi
seg002:004E268F                xor    ebx, 0FFFFFFFFh
seg002:004E2692                jz    short loc_4E26E1
seg002:004E2694                sar    ebx, 1
seg002:004E2696                mov    ebp, ebx
seg002:004E2698                jmp    short loc_4E26A2
seg002:004E269A ; ---------------------------------------------------------------------------
seg002:004E269A
seg002:004E269A loc_4E269A:                            ; CODE XREF: start+49j
seg002:004E269A                add    eax, eax
seg002:004E269C                jnz    short loc_4E26A2
seg002:004E269E                lodsd
seg002:004E269F                stc
seg002:004E26A0                adc    eax, eax
seg002:004E26A2
seg002:004E26A2 loc_4E26A2:                            ; CODE XREF: start+5Aj
seg002:004E26A2                                        ; start+5Ej
seg002:004E26A2                adc    ecx, ecx
seg002:004E26A4                add    eax, eax
seg002:004E26A6                jnz    short loc_4E26AC
seg002:004E26A8                lodsd
seg002:004E26A9                stc
seg002:004E26AA                adc    eax, eax
seg002:004E26AC
seg002:004E26AC loc_4E26AC:                            ; CODE XREF: start+68j
seg002:004E26AC                adc    ecx, ecx
seg002:004E26AE                jnz    short loc_4E26C8
seg002:004E26B0                inc    ecx
seg002:004E26B1
seg002:004E26B1 loc_4E26B1:                            ; CODE XREF: start+7Fj
seg002:004E26B1                                        ; start+86j
seg002:004E26B1                add    eax, eax
seg002:004E26B3                jnz    short loc_4E26B9
seg002:004E26B5                lodsd
seg002:004E26B6                stc
seg002:004E26B7                adc    eax, eax
seg002:004E26B9
seg002:004E26B9 loc_4E26B9:                            ; CODE XREF: start+75j
seg002:004E26B9                adc    ecx, ecx
seg002:004E26BB                add    eax, eax
seg002:004E26BD                jnb    short loc_4E26B1
seg002:004E26BF                jnz    short loc_4E26C6
seg002:004E26C1                lodsd
seg002:004E26C2                adc    eax, eax
seg002:004E26C4                jnb    short loc_4E26B1
seg002:004E26C6
seg002:004E26C6 loc_4E26C6:                            ; CODE XREF: start+81j
seg002:004E26C6                inc    ecx
seg002:004E26C7                inc    ecx
seg002:004E26C8
seg002:004E26C8 loc_4E26C8:                            ; CODE XREF: start+70j
seg002:004E26C8                cmp    ebp, 0FFFFFB00h
seg002:004E26CE                adc    ecx, 1
seg002:004E26D1                lea    edx, [edi+ebp]
seg002:004E26D4
seg002:004E26D4 loc_4E26D4:                            ; CODE XREF: start+9Cj
seg002:004E26D4                mov    bl, [edx]
seg002:004E26D6                inc    edx
seg002:004E26D7                mov    [edi], bl
seg002:004E26D9                inc    edi
seg002:004E26DA                loop loc_4E26D4
seg002:004E26DC                jmp    loc_4E2653
seg002:004E26E1 ; ---------------------------------------------------------------------------
seg002:004E26E1
seg002:004E26E1 loc_4E26E1:                            ; CODE XREF: start+54j
seg002:004E26E1                mov    edx, esi
seg002:004E26E3                pop    esi
seg002:004E26E4                lodsd
seg002:004E26E5                dec    eax
seg002:004E26E6                jz    short loc_4E26F5
seg002:004E26E8                jns    short loc_4E26EC
seg002:004E26EA                lodsd
seg002:004E26EB                push eax
seg002:004E26EC
seg002:004E26EC loc_4E26EC:                            ; CODE XREF: start+AAj
seg002:004E26EC                push esi
seg002:004E26ED                mov    esi, edx
seg002:004E26EF                xchg eax, edi
seg002:004E26F0                jmp    loc_4E2648
seg002:004E26F5 ; ---------------------------------------------------------------------------
seg002:004E26F5
seg002:004E26F5 loc_4E26F5:                            ; CODE XREF: start+A8j
seg002:004E26F5                lodsd
seg002:004E26F6                xchg eax, ebx
seg002:004E26F7                pop    esi
seg002:004E26F8
seg002:004E26F8 loc_4E26F8:                            ; CODE XREF: start+C8j
seg002:004E26F8                inc    esi
seg002:004E26F9                lodsd
seg002:004E26FA                xchg eax, edi
seg002:004E26FB                push esi
seg002:004E26FC                call dword ptr [ebx]
seg002:004E26FE                xchg eax, ebp
seg002:004E26FF
seg002:004E26FF loc_4E26FF:                            ; CODE XREF: start+C4j
seg002:004E26FF                                        ; start+DFj
seg002:004E26FF                lodsb
seg002:004E2700                test al, al
seg002:004E2702                jnz    short loc_4E26FF
seg002:004E2704                dec    byte ptr [esi]
seg002:004E2706                jz    short loc_4E26F8
seg002:004E2708                jns    short loc_4E270F
seg002:004E270A                inc    esi
seg002:004E270B                lodsd
seg002:004E270C                push eax
seg002:004E270D                jmp    short loc_4E2718
seg002:004E270F ; ---------------------------------------------------------------------------
seg002:004E270F
seg002:004E270F loc_4E270F:                            ; CODE XREF: start+CAj
seg002:004E270F                dec    byte ptr [esi]
seg002:004E2711                jz    near ptr dword_418895
seg002:004E2717                push esi
seg002:004E2718
seg002:004E2718 loc_4E2718:                            ; CODE XREF: start+CFj
seg002:004E2718                push ebp
seg002:004E2719                call dword ptr [ebx+4]
seg002:004E271C                stosd
seg002:004E271D                jmp    short loc_4E26FF

[课程]Linux pwn 探索篇！

收藏・1

免费・1

支持

最新回复 (10)
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 2 楼 FSG 有变形的 Ollydbg 2004-10-12 13:28 0
zzsx 雪币： 214 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 63 粉丝 0 关注私信	zzsx 3 楼你认为这是FSG的变形壳吗？ 2004-10-12 14:59 0
q3q3 雪币： 221 活跃值： (70) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 230 粉丝 1 关注私信	q3q3 4 楼要是变形的话PEID应该会报出变形或根本认不出来，应该是深度扫描的误报吧，软件生成什么东西吗？ 2004-10-13 18:04 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 5 楼放个链接看看 2004-10-13 20:34 0
zzsx 雪币： 214 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 63 粉丝 0 关注私信	zzsx 6 楼这是一个我在网上收集的病毒程序，所以不能上传。通过与FSG1.33比较，我发现程序的流程完全一致，只不过压缩算法不是aPLib了，所以手脱没有什么难度。不过我还是很想弄清楚这到底是什么壳？是用什么库压缩的？ 2004-10-14 00:26 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 7 楼你找一下fsg-prot FSG v1.33 Protector bY SMoKE ============================ this is a nice idea to protect executables, in this case FSG v1.33 packed, this little tool will protect FSGed files against unpacking/dumping. protector's loader will destroy/erase whole DOS and PE Header on startup. but check your programs after protecting them. tested only on Win98SE ! even my UnFSG cant unpack programs protected with this tool :P KiNG OF PE, ProcessENG, ProcDump, Lord PE (without PASTE HEADER FROM DISK option) all this programs dumped erased header :) for more questions see source included its written in pure win32asm :) softland at freenet.am SMoKE / HERiTAGE 2004-10-14 00:30 0
zzsx 雪币： 214 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 63 粉丝 0 关注私信	zzsx 8 楼我在google，百度和programmer tools上搜索了一下，没有找到。能不能给一个下载的链接？谢谢。 2004-10-14 00:42 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 9 楼 FSG V1.33 Protector source & FSG V1.33 & unpacker 附件:FSG1.33.rar 2004-10-14 13:22 0
xuanqing 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 258 粉丝 1 关注私信	xuanqing 10 楼好东东啊哪里搞到的不管了先下来看 2004-10-14 20:23 0
zzsx 雪币： 214 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 63 粉丝 0 关注私信	zzsx 11 楼从源程序来看，这个FSG-Protector壳的主要功能是在FSG壳的后面加一个保护层，以清除PE和DOS headers。这和我遇到的壳还是不一样。不过还是很感谢。 2004-10-15 01:10 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

zzsx

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (10)
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 2 楼 FSG 有变形的 Ollydbg 2004-10-12 13:28 0
zzsx 雪币： 214 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 63 粉丝 0 关注私信	zzsx 3 楼你认为这是FSG的变形壳吗？ 2004-10-12 14:59 0
q3q3 雪币： 221 活跃值： (70) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 230 粉丝 1 关注私信	q3q3 4 楼要是变形的话PEID应该会报出变形或根本认不出来，应该是深度扫描的误报吧，软件生成什么东西吗？ 2004-10-13 18:04 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 5 楼放个链接看看 2004-10-13 20:34 0
zzsx 雪币： 214 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 63 粉丝 0 关注私信	zzsx 6 楼这是一个我在网上收集的病毒程序，所以不能上传。通过与FSG1.33比较，我发现程序的流程完全一致，只不过压缩算法不是aPLib了，所以手脱没有什么难度。不过我还是很想弄清楚这到底是什么壳？是用什么库压缩的？ 2004-10-14 00:26 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 7 楼你找一下fsg-prot FSG v1.33 Protector bY SMoKE ============================ this is a nice idea to protect executables, in this case FSG v1.33 packed, this little tool will protect FSGed files against unpacking/dumping. protector's loader will destroy/erase whole DOS and PE Header on startup. but check your programs after protecting them. tested only on Win98SE ! even my UnFSG cant unpack programs protected with this tool :P KiNG OF PE, ProcessENG, ProcDump, Lord PE (without PASTE HEADER FROM DISK option) all this programs dumped erased header :) for more questions see source included its written in pure win32asm :) softland at freenet.am SMoKE / HERiTAGE 2004-10-14 00:30 0
zzsx 雪币： 214 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 63 粉丝 0 关注私信	zzsx 8 楼我在google，百度和programmer tools上搜索了一下，没有找到。能不能给一个下载的链接？谢谢。 2004-10-14 00:42 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 9 楼 FSG V1.33 Protector source & FSG V1.33 & unpacker 附件:FSG1.33.rar 2004-10-14 13:22 0
xuanqing 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 258 粉丝 1 关注私信	xuanqing 10 楼好东东啊哪里搞到的不管了先下来看 2004-10-14 20:23 0
zzsx 雪币： 214 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 63 粉丝 0 关注私信	zzsx 11 楼从源程序来看，这个FSG-Protector壳的主要功能是在FSG壳的后面加一个保护层，以清除PE和DOS headers。这和我遇到的壳还是不一样。不过还是很感谢。 2004-10-15 01:10 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复