UPack PE文件分析

最新推荐文章于 2022-04-08 19:53:19 发布
最新推荐文章于 2022-04-08 19:53:19 发布
阅读量505 收藏 1
点赞数 1
分类专栏: 逆向 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/learn112/article/details/112029389
版权
本文详细分析了经过UPack压缩的PE文件的结构变化,包括DOS头、NT头、可选头、节区头的异常特征。UPack通过扩大可选头并利用其空间存放解码代码,同时修改节区布局,使得原始PE文件在内存中解压缩后恢复正常。导入表和IAT的处理方式也体现了UPack的巧妙之处,确保了文件格式的合规性。
摘要由CSDN通过智能技术生成

UPack PE文件分析

UPack

UPack 是一个运行时压缩器,它会将PE文件打乱,使正常PE文件变形,从而让分析者摸不清头脑,另外,经过UPack压缩的PE文件会小很多

经过UPack压缩的PE文件

打开经过UPack压缩的PE文件,我们可以看到文件结构与普通PE文件大不一样(包括文件头,文件节区),如下图:

在这里插入图片描述

DOS头有,但是只有一个签名5A4D(MZ)

DOS存根没有了

看到00004550(PE)说明NT头有,但是这个NT头距离DOS头也太近了。。。

NT头的签名后面接着就是文件头(20个字节,offset:14~27)

文件头后面就是可选头,从文件头倒数第二个4字节,我们得到可选头的大小:0x148

如下图白色部分(未全部展示)即为可选头:

在这里插入图片描述

可选头在这里与普通PE文件的可选头也是不同的,普通PE可选头一般大小为E0,这里为148,为什么经过UPa

最低0.47元/天 解锁文章
learn112
关注
专栏目录
UPack 压缩PE文件分析(特点总结)
m0_62690279的博客
04-15 1133
文章目录UPack文件分析(特点总结)概述压缩方法PE文件头部分的特征表现特征具体改变重叠文件头具体修改文件头(IMAGE_FILE_HEADER)中可选头(IMAGE_OPTIONAL_HEADER)的长度(E0)原理(创造空间,插入代码)原因查看插入的代码修改可选头中的NumberOfRvaAndSizeNumberOfRvaAndSize具体修改IMAGE_SECTION_HEADER的空间利用重叠节区RVA to RAW的特征IMAGE_IMPORT_DESCRIPTOR array(导入表)的
UPack PE文件分析
wk19951125的博客
02-13 180
UPack PE文件分析Stud_PE比较PE文件原始的PE文件头UPack后的PE文件分析UPackPE文件头重叠文件头IMAGE_FILE_HEADER.SizeOfOptionalHeaderIMAGE_OPTIONAL_HEADER.NumberOfRvaAndSizes重叠节区RVA to RAW导入表参考文献 Stud_PE 查看UPack后的文件: 比较PE文件 原始的P...
UPack PE文件头详细分析
qq_39249347的博客
08-19 559
UPack是一款PE文件的运行时压缩器,其特点是用一种非常独特的方式对PE头进行变形,UPack会引起诸多现有的PE分析程序错误。 许多恶意代码使用UPack压缩字节的恶意代码并发布,由于这样的恶意代码非常多,现在大部分杀毒软件干脆将所有UPack压缩的文件全部识别为恶意文件并删除。 使用UPack压缩notepad.exe 将upack.exe与notepad.exe放到同一个文件夹下,输入如下命令: C:\Users\12586\Downloads\example\02\18\bin>Up.
UPack PE文件分析与调试
Tokameine的博客
03-06 354
参考文章:https://blog.csdn.net/learn112/article/details/112029389 您可以将本篇文章当作该参考文章的拓展版、翻译版、压缩版,总之算是结合之后自己上手的过程记录。若您发现文章中出现错误,请务必指正。 范例:notepad_upack.exe 准备工具:010Editor、Stud_PE UPack:个人对其理解为一种压缩方法。将文件经过一定的算法编码压缩,在启动被压缩文件时将会按照逆过程解码。而其中比...
UPack调试
qq_39249347的博客
08-19 328
Ollydbg运行错误 由于Upack会将IMAGE_OPTIONAL_HEADER中的NumberOfRvaAndSizes值设置为A,所以使用OllyDbg打开notepad_upack.exe文件时,初始检查过程中会弹出错误消息对话框: 按确认按钮关闭对话框,上面这个错误导致OllyDbg无法转到EP位置,停留在ntdll.dl区域: 该现象是由OllyDbg的Bug引起的,所以需要强制设置EP,首先要查找EP位于何处,下面使用Stud_PE查找EP的虚拟地址。 ImageBase为010.
UPackPE文件分析与OEP查找
Mi1k7ea
06-11 1591
UPack(Ultimate PE压缩器),是一种PE文件的运行时压缩器,特点是使用独特的方法对PE头进行变形。UPack会使许多的PE分析程序无法正常运行,因此很多恶意代码都是通过UPack进行压缩。   UPack PE文件分析 使用UPack压缩notepad.exe: UPack会直接压缩源文件而不会进行备份。压缩后的notepad文件更名为notepad_upack。 使...
Stud_PE PE分析工具
01-30
了解和分析PE文件对于软件开发者、逆向工程师以及安全研究人员至关重要。而Stud_PE,作为一款专业的PE分析工具,相较于其他同类工具如PEview,其功能更为全面,尤其在处理UPack壳的PE分析方面表现出色。 Stud_PE...
《逆向工程核心原理》第18章----分析Upack
qq_55785697的博客
04-08 289
UpackPE形式乍一看和规范相去甚远,实际上每一处都是精心设计的,在混淆人工分析的同时完美符合PE规范。主要是采取了以下多种手段。 一、重叠PE文件头 MZ文件头中对程序运行有用的只有标志位和偏移03C处NT映像头的起始位置,其余地方都是无影响可随意填充其他内容;依此可将NT映像头与MZ文件头重叠。 二、修改结构长度扩充空余空间 1.在IMAGE_FILE_HEADER结构中,SizeofOptionHeader这个参数代表可选头的大小,由于在PE32中大小是固定的E0,所以当参数大小超过E0时
UPack文件分析学习笔记
qq_45444695的博客
02-17 1501
前言:UPack是一款对PE文件头进行变形的运行时压缩器。由于它独特的压缩方式,使得很多人刚开始分析时一头雾水,无从下手,因为它颠覆了很多人对PE头传统的理解,导致很多人刚开始看到经过它压缩的文件时都认为这些文件或许不能运行,但是事实上是可以的。虽说UPackPE头进行了变形操作,但是我们仍然能从一些蛛丝马迹当中发现其原理。 UPack压缩notepad 我们使用upack 0.39.exe对w...
手动脱WinUpack 壳实战
07-15
手动脱WinUpack 壳实战的分析文档和脱壳后程序,这个脱壳程序是吾爱破解练习第6题,比较简单。
庖丁解牛之UPack工作原理及实例分析(3)
fengling59的专栏
12-29 630
 绿盟科技博客巨人背后的安全专家 Toggle navigation Add a menu Search for: 庖丁解牛之UPack工作原理及实例分析(3) 3 days ago2015-12-28 孙 建坡 阅读: 131 UPack是软件逆向工程中常见课题;前两篇对于Runtime压缩基础知识和UPack
UPack调试笔记
qq_45444695的博客
02-23 411
文章目录解码函数解密函数重建IAT表OPE 前言:之前我们有说到,upack压缩过后的文件文件头部发生了变化,同时正常文件的第一,第三节区也被压缩到了notepad的第二个节区(第一,第三节区的部分空间已经映射了文件的头部)像麻花一样。 我们知道正常的PE文件文件的第一节区应该是代码段,第二节区是数据段。upack压缩后的数据挤在第二节区,UPack解码需要将该节区的部分数据解密到第一节区。 ...
Upack文件分析学习笔记
river
04-15 2075
逆向工程核心原理的学习
庖丁解牛之UPack工作原理及实例分析(2)
fengling59的专栏
12-29 849
 绿盟科技博客巨人背后的安全专家 Toggle navigation Add a menu Search for: 庖丁解牛之UPack工作原理及实例分析(2) 3 days ago2015-12-28 孙 建坡 阅读: 128 UPack是软件逆向工程中常见课题;上一篇已经对Runtime压缩基础知识进行了介绍
《逆向工程》之PE文件结构补充
Starr
08-01 427
PE文件格式 文章目录PE文件格式13. PE文件格式13.4 RVA to RAW13.5 IAT13.6 EAT14-15. 运行时压缩压缩器保护器upx举例16. 基址重定位17. 从可执行文件中删除.reloc18. UPack PE文件头重叠文件头_IMAGE_FILE_HEADER.SizeOfOptionalHeader_IMAGE_OPTIONAL_HEADER64.NumberO...
《逆向工程核心原理》学习笔记7 UPack加壳
EloflyS的博客
03-01 1275
《逆向工程核心原理》学习笔记7 UPack加壳 (好久没更了orz) UPack是一款用于给软件加壳的程序,通过对PE头的变形和压缩,达到不让别人识别文件作用的功能。因此骇客经常使用这种加壳程序对他们所编写的病毒进行包装。有些杀毒软件会不加分辨的直接把所有用UPack压缩的文件全部识别为病毒。(本身这个软件没有恶意) 首先要下载UPack,下载链接在这 https://download.csdn....
《逆向工程核心原理》第18.19章——UPack PE文件头详细描述、UPack调试——查找EOP
diamond_biu的博客
12-21 754
UPack PE文件头详细描述UPack说明比较PE文件头重叠文件头IMAGE_FILE_HEADER.SizeOfOptionalHeaderIMAGE_OPTIONAL_HEADER.NumberOfRvaAndSizesIMAGE_SECTION_HEADER重叠节区RVA to RAW导入表(IMAGE_IMPORT_DESCRIPTOR array)导入地址表INT与IAT到底有什么区别呢?UPack调试——查找OEP解码循环 UPack说明 UPack是一种运行时压缩器,其特点是用一种非常独特
解析PAK文件
热门推荐
Mantra的专栏
12-25 6万+
工具好不好主要看用的人  ----Mantra 众所周知,UE4打包之后生成的资源文件被压缩成.pak格式,那么如何找到合适的工具提取其中的资源呢?(既然UE4是开源的,那么UE4的打包工具也应该是开源的,所以大佬们逆流而上发明了这个工具) 工具的下载地址 https://pan.baidu.com/s/1slIAzb3  密码:gve2。 下载完成之后,打开exe(dll不能删除,否则影响
LogFeaturePack: Error: Error in Feature pack D:/UnrealEngine4/UE_5.0/UE_5.0/FeaturePacks/TP_VirtualRealityBP.upack. Failed to parse manifest: Invalid Json Token. Line: 43 Ch: 4
最新发布
07-16
这是 Unreal Engine 的日志中的一条错误信息,指示在解析特性包(Feature Pack)的清单文件时发生了错误。具体是位于 D:/UnrealEngine4/UE_5.0/UE_5.0/FeaturePacks/TP_VirtualRealityBP.upack 的 TP_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值