今天捕获到一个挖矿木马work32,在分析过程中,查壳发现加壳为 upx3.93
使用upx脱壳工具脱壳过程中,会提示以下错误
p_info corrupted为p_info损坏,百度了一圈说是病毒制作者使用的一种防范手段,不让轻易脱壳
下面为解决这个问题的方法
使用winhex十六进制查看工具查看这个加壳的样本,发现upx文件头的p_info位置的12个字节部分被0填充,这也是我们无法解压的原因
现在要恢复p_info的值,而p_info和p_filesize包含相同的值,p_filesize的值在文件的末尾,如下这个位置
把这个位置的值复制,填充 p_info位置的5-12字节,如下:
保存之后再用upx工具脱壳,就可以成功脱壳,结果如下:
载入ida中,发现脱壳已经成功,可以正常分析