UPX壳分析

最新推荐文章于 2024-07-30 00:59:51 发布
最新推荐文章于 2024-07-30 00:59:51 发布
阅读量2k 收藏
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iextract/article/details/74854436
版权

面试的时候问到一些问题,之前一直没接触过,这几天在学校安排的培训空闲时间,用upx压缩一个exe来分析脱壳行为

UPX 3.94w+x64dbg

工具:Source Insight

目录文件夹结构如下
\UPX-3.08-SRC
├─doc
└─src
├─filter
└─stub
├─scripts
├─src
│ ├─arch
│ │ ├─amd64
│ │ ├─arm
│ │ │ ├─v4a
│ │ │ ├─v4t
│ │ │ └─v5a
│ │ ├─i086
│ │ ├─i386
│ │ ├─m68k
│ │ │ ├─m68000
│ │ │ └─m68020
│ │ ├─mips
│ │ │ └─r3000
│ │ └─powerpc
│ │ └─32
│ ├─c
│ └─include
└─tools
├─armpe
└─sstrip
从src内的main.cpp开始

这里写图片描述

main函数之前做了一些判断,看起来是关于upx版本和一些待压缩文件的判断,最后进入到do_files(),紧接着进入到do_one_files()

这里写图片描述

接着做基本的文件属性检查

    int r;
    struct stat st;
    memset(&st, 0, sizeof(st));
#if (HAVE_LSTAT)
    r = lstat(iname,&st);
#else
    r = stat(iname,&st);
#endif

    if (r != 0)
        throw FileNotFoundException(iname);
    if (!(S_ISREG(st.st_mode)))
        throwIOException("not a regular file -- skipped");
#if defined(__unix__)
    // no special bits may be set
    if ((st.st_mode & (S_ISUID | S_ISGID | S_ISVTX)) != 0)
        throwIOException("file has special permissions -- skipped");
#endif
    if (st.st_size <= 0)
        throwIOException("empty file -- skipped");
    if (st.st_size >= 1024*1024*1024)
        throwIOException("file is too large -- skipped");
    if ((st.st_mode & S_IWUSR) == 0)
    {
        bool skip = true;
        if (opt->output_name)
            skip = false;
        else if (opt->to_stdout)
            skip = false;
        else if (opt->backup)
            skip = false;
        if (skip)
            throwIOException("file is write protected -- skipped");
    }

最后打开打开IO文件流,准备进行压缩

先实例化一个类PackMaster

PackMaster pm(&fi, opt);
    if (opt->cmd == CMD_COMPRESS)
        pm.pack(&fo);

这里写图片描述

调用关系如上,调用顺序如上

其中getPacker()会寻找适合当前输入文件类型的一个packer方法,最终返回一个Packer实例,进入到doPack()

doPacke()是pack()的包装

pack内进行compress()调用,查看调用关系如下,进入到lzma算法的压缩
这里写图片描述

=============================================================
upx加载时的脱壳过程

01058E30  | pushal                                                    |
01058E31  | mov esi,up.1058000                                        | esi points at upx1
01058E36  | lea edi,dword ptr ds:[esi-7000]                           | since edi points at upx0
01058E3C  | push edi                                                  |
01058E3D  | jmp up.1058E4A                                            | start extracting data

这部分用ebx来做是否进行循环的判断,同时有两个部分,上半部分是单字节的恢复,下半部分是4字节的恢复

01058E4A  | mov ebx,dword ptr ds:[esi]                                | get loop key here?
01058E4C  | sub esi,FFFFFFFC                                          | esi+=4
01058E4F  | adc ebx,ebx                                               | check whether continue| seems like just one byte patch here
01058E51  | jb up.1058E40                                             |
01058E53  | mov eax,1                                                 |
01058E58  | add ebx,ebx                                               |
01058E5A  | jne up.1058E63                                            |
01058E5C  | mov ebx,dword ptr ds:[esi]                                |
01058E5E  | sub esi,FFFFFFFC                                          |
01058E61  | adc ebx,ebx                                               |
01058E63  | adc eax,eax                                               |
01058E65  | add ebx,ebx                                               |
01058E67  | jae up.1058E58                                            |
01058E69  | jne up.1058E74                                            |
01058E6B  | mov ebx,dword ptr ds:[esi]                                |
01058E6D  | sub esi,FFFFFFFC                                          |
01058E70  | adc ebx,ebx                                               |
01058E72  | jae up.1058E58                                            |
01058E74  | xor ecx,ecx                                               |
01058E76  | sub eax,3                                                 |
01058E79  | jb up.1058E88                                             |
01058E7B  | shl eax,8                                                 |
01058E7E  | mov al,byte ptr ds:[esi]                                  |
01058E80  | inc esi                                                   |
01058E81  | xor eax,FFFFFFFF                                          |
01058E84  | je up.1058EFA                                             |
01058E86  | mov ebp,eax                                               |
01058E88  | add ebx,ebx                                               |
01058E8A  | jne up.1058E93                                            |
01058E8C  | mov ebx,dword ptr ds:[esi]                                |
01058E8E  | sub esi,FFFFFFFC                                          |
01058E91  | adc ebx,ebx                                               |
01058E93  | adc ecx,ecx                                               |
01058E95  | add ebx,ebx                                               |
01058E97  | jne up.1058EA0                                            |
01058E99  | mov ebx,dword ptr ds:[esi]                                |
01058E9B  | sub esi,FFFFFFFC                                          |
01058E9E  | adc ebx,ebx                                               |
01058EA0  | adc ecx,ecx                                               |
01058EA2  | jne up.1058EC4                                            |
01058EA4  | inc ecx                                                   |
01058EA5  | add ebx,ebx                                               |
01058EA7  | jne up.1058EB0                                            |
01058EA9  | mov ebx,dword ptr ds:[esi]                                |
01058EAB  | sub esi,FFFFFFFC                                          |
01058EAE  | adc ebx,ebx                                               |
01058EB0  | adc ecx,ecx                                               |
01058EB2  | add ebx,ebx                                               |
01058EB4  | jae up.1058EA5                                            |
01058EB6  | jne up.1058EC1                                            |
01058EB8  | mov ebx,dword ptr ds:[esi]                                |
01058EBA  | sub esi,FFFFFFFC                                          |
01058EBD  | adc ebx,ebx                                               |
01058EBF  | jae up.1058EA5                                            |
01058EC1  | add ecx,2                                                 |
01058EC4  | cmp ebp,FFFFF300                                          |
01058ECA  | adc ecx,1                                                 |
01058ECD  | lea edx,dword ptr ds:[edi+ebp]                            |
01058ED0  | cmp ebp,FFFFFFFC                                          |
01058ED3  | jbe up.1058EE4                                            |
01058ED5  | mov al,byte ptr ds:[edx]                                  |
01058ED7  | inc edx                                                   |
01058ED8  | mov byte ptr ds:[edi],al                                  |
01058EDA  | inc edi                                                   |
01058EDB  | dec ecx                                                   |
01058EDC  | jne up.1058ED5                                            |
01058EDE  | jmp up.1058E46                                            |
01058EE3  | nop                                                       |
01058EE4  | mov eax,dword ptr ds:[edx]                                |
01058EE6  | add edx,4                                                 |
01058EE9  | mov dword ptr ds:[edi],eax                                | 4 bytes patch here
01058EEB  | add edi,4                                                 |
01058EEE  | sub ecx,4                                                 |
01058EF1  | ja up.1058EE4                                             |
01058EF3  | add edi,ecx                                               |
01058EF5  | jmp up.1058E46                                            |
01058EFA  | pop esi                                                   | finish extracting from UPX1 to UPX0

开始进行call 函数地址的修复
遍历在上一部分修复至upx0部分的字节,寻找E8/E9(call)指令,然后修改call 之后的偏移

01058EFB  | mov edi,esi                                               |
01058EFD  | mov ecx,58                                                |
01058F02  | mov al,byte ptr ds:[edi]                                  | start checking "call" func from upx0
01058F04  | inc edi                                                   |
01058F05  | sub al,E8                                                 |
01058F07  | cmp al,1                                                  |
01058F09  | ja up.1058F02                                             | loop to find E8/E9
01058F0B  | cmp byte ptr ds:[edi],0                                   |
01058F0E  | jne up.1058F02                                            |
01058F10  | mov eax,dword ptr ds:[edi]                                | get call fun offset(fake)
01058F12  | mov bl,byte ptr ds:[edi+4]                                |
01058F15  | shr ax,8                                                  |
01058F19  | rol eax,10                                                |
01058F1C  | xchg ah,al                                                |
01058F1E  | sub eax,edi                                               |
01058F20  | sub bl,E8                                                 |
01058F23  | add eax,esi                                               | eax-edi+esi=eax-edi's offset from upx0
01058F25  | mov dword ptr ds:[edi],eax                                | call func offset fix over
01058F27  | add edi,5                                                 |
01058F2A  | mov al,bl                                                 |
01058F2C  | loop up.1058F07                                           |
01058F2E  | lea edi,dword ptr ds:[esi+6000]                           |
01058F34  | mov eax,dword ptr ds:[edi]                                |
01058F36  | or eax,eax                                                |
01058F38  | je up.1058F76                                             | fix over

开始填充函数地址
使用了Loadlibrary() GetProcAddress(),进行指定函数的地址载入,并填充到指定地址

01058F4A  | call dword ptr ds:[esi+92B8]                              | LoadLibraryA
01058F50  | xchg eax,ebp                                              | ebp take kernel32.dll base addr & other dll base addr
01058F51  | mov al,byte ptr ds:[edi]                                  |
01058F53  | inc edi                                                   |
01058F54  | or al,al                                                  |
01058F56  | je up.1058F34                                             |
01058F58  | mov ecx,edi                                               |
01058F5A  | push edi                                                  |
01058F5B  | dec eax                                                   |
01058F5C  | repne scasb al,byte ptr es:[edi]                          | move edi to next string offset (func name string)
01058F5E  | push ebp                                                  |
01058F5F  | call dword ptr ds:[esi+92C0]                              |
01058F65  | or eax,eax                                                |
01058F67  | je up.1058F70                                             |
01058F69  | mov dword ptr ds:[ebx],eax                                | fix the func addr to upx0+2000
01058F6B  | add ebx,4                                                 |
01058F6E  | jmp up.1058F51                                            | fix address to upx0+1000
01058F70  | call dword ptr ds:[esi+92BC]                              |
01058F76  | add edi,4                                                 | func addr fix over

(还差最后一步,未完待补充)

iextract
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
upx的一次较深入探究
令则
03-19 1035
upx的一次较深入探究 最开始的起因是一个攻防世界的题目,这个题目使用的upx,题目为easyre-150。 攻防世界题号会变化也就不给链接了,进阶区前三页内,还是比较好找。 如果直接upx的话,题目基本没有啥难度,但是在题目做完以后我去翻看这个原本加后的文件发现很有趣。 于是便去简单的了解了一下。 文章目录对upx的一次较深入探究easy-re-154直接脱的方法知识点:p...
UPX全程分析(转)
banhanjun1518的博客
07-05 451
【文章标题】: UPX全程分析 【保护方式】: 本地验证 【使用工具】: OllyDBG 【作者声明】: 只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教! -------------------------------------------------------------------------------- 004629D0 &...
UPX:究极打包利器
最新发布
lyndon
07-30 1118
UPX 的主要优点在于,它不仅可以大幅度减少文件体积,还能保持可执行文件的运行速度,几乎不影响程序的启动时间。
upx原理
抠专栏
03-14 3969
原文 upx的功能有两种描述。一种叫做给程序加,另一种叫压缩程序。其实这两种表述都是正确的,只是从不同的 角度 对upx的描述。 upx的工作原理其实是这样的:首先将程序压缩。所谓的压缩包括两方面,一方面在程序的开头或者其他合适的 地方 插入一段代码,另一方面是将程序的其他地方做压缩。压缩也可以叫做加密,因为压缩后的程序比较难看 懂,主要是 和原来的代码有很大的不同。最大的表现也就是
upx 源码分析
heartcleaner的专栏
06-16 1877
upx文件组成,upx源码分析
UPX源码分析——加
chengman3837的博客
02-23 3963
0x00 前言 UPX作为一个跨平台的著名开源压缩,随着Android的兴起,许多开发者和公司将其和其变种应用在.so库的加密防护中。虽然针对UPX及其变种的使用和脱都有教程可查,但是至少在中文网络里并没有针对其源码的分析。作为一个好奇宝宝,我花了点时间读了一下UPX的源码并梳理了其对E...
UPX加解工具,UPX,UPX
08-13
UPX能够显著减小可执行文件的大小,通过压缩代码和数据,提高程序的加载速度,同时提供了一定程度的保护,使得逆向工程师更难以分析程序的内部结构。 标题提到的“UPX工具”是指用于将UPX添加到可执行文件...
UPX工具
04-22
过程通常涉及分析UPX的结构,找到入口点,并剥离掉层,使程序恢复到未压缩的状态,便于分析、调试或反编译。 在逆向工程领域,去是常见的操作,主要用于安全审计、漏洞研究和恶意软件分析。使用UPX...
UPX____压缩
08-05
3. 反调试:UPX层可以增加反调试难度,使得一些简单的调试工具难以直接分析程序。 缺点: 1. 资源消耗:虽然加载速度快,但解压过程仍会消耗一定的CPU和内存资源。 2. 可能导致兼容性问题:某些较旧的系统或软件...
upx-3.94-src.zip_UPX_UPX 3.94 压缩_linux 压缩_upx src_加
09-21
然而,这并不意味着UPX后的程序就完全不可逆向,高级的逆向工程师仍然有可能穿透层,分析程序的内部结构。 综上所述,UPX 3.94是用于Linux的可执行文件压缩和加工具,其源代码提供了深入理解这一过程的机会...
Android UPX源码解析
哆啦安全
12-01 1687
​目录 一、 UPX的原理 1. UPX的工作原理 2. UPX实时解压的原理和流程 3. UPX应用的场景 4. 修改UPX源码需要注意以下几点 二、 UPXAndroid so的方法和步骤 三、 UPXAndroid so相关问题总结 四、 UPX源码分析upx的原理和流程分析) 1. 对加函数的拆解分析 2. 对pack1()的分析 3. 对pack2()的分析 4. 对pack3()的分析 5. 对pack4()的分析 6. Loader的获取
易语言源码易语言UPX器原理源码.rar
03-30
易语言源码易语言UPX器原理源码.rar
著名的UPX程序的源代码
05-14
的源代码;著名的UPX程序的源代码,对于学习加原理有很大的帮助
upx加固源码
10-21
C++编译文件加固源码,upx源码
UPX.v3_rar压缩源码_UPX_UPX算法_Vc_
10-03
VC++基于UPX算法的压缩软件源码分享。
讲述UPX的运行原理
zacklin的专栏
04-01 7593
软件可分为两类:一类是压缩,一类是保护。压缩的目的是减少程序体积,如ASPack、UPX、PECompact等。保护是为了防止程序被跟踪和调试,如ASProtect、幻影。的存在会让我们找不到程序的真实入口点,从而不能正确的分析反汇编程序,也就对程序起到了一定的保护作用。下面我们一起来认识一下一个程序有和没有的区别以及带UPX的一些特征,同时,我们也可以了解一下PE文件的结构。开始之前
原理与简单实现加
07-15 1702
 {*****************************************************************AddShell()源自于前一段时间有写的addsection()新增区段代码,在增加区段代码的基础上,追加了1.修改启动入口点位置2.增加一段头xor $50的代码function AttachStart-function AttachEnd这一段代码是先填
upx 分析
cracklyly的博客
09-01 379
下载地址 可以直接编译 http://download.csdn.net/detail/cracklyly/9618936 有时间吧代码分析
upx1一键脱工具
07-31
使用UPX1一键脱工具可以方便地将使用了UPX1压缩的可执行文件解压缩回原始状态,方便进行进一步的分析和修改。这个工具提供了简单易用的界面,用户只需要选择待解压的文件,点击一键脱按钮,工具就会自动进行...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值