UPack 压缩PE头文件分析(特点总结)

已于 2022-04-15 00:30:30 修改
阅读量1k 收藏 2
点赞数 1
分类专栏: 日常 PE文件结构 文章标签: 学习 安全
于 2022-04-15 00:27:07 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62690279/article/details/124185307
版权

文章目录

UPack 头文件分析(特点总结)

概述

UPack是用来将pe文件压缩成很不规则形式的压缩器,书上说是国人编写的,牛。

压缩方法

在终端输入指令

upack notepad.exe

在这里插入图片描述
压缩后不会生成新文件,压缩的是其本身,所以做好备份
此时peview已经看不到很多东西了:
在这里插入图片描述

PE文件头部分的特征

表现特征

1.开头的MZ和PE签名离得太近了

1.没有dos存根
在这里插入图片描述

3.出现很多字符串和代码

4.等等等

具体改变

重叠文件头

将MZ文件头(IMAGE_DOS_HEADER)和PE文件头(IMAGE_NT_HEADER) 重叠在一起

{节约空间增加代码,提高复杂性}

具体

PE规定NT头的起始位置是可变的,由e_flanew决定,下面是MZ和e_flanew

在这里插入图片描述

一般情况下e_flanew有以下值:

在这里插入图片描述

UPack将其改为10
在这里插入图片描述

达到重叠的效果。

修改文件头(IMAGE_FILE_HEADER)中可选头(IMAGE_OPTIONAL_HEADER)的长度(E0)

原理(创造空间,插入代码)

UPack将其改为148(E0->148), 这样做可以向文件头插入解码代码

在这里插入图片描述

经过这样的改动 , (IMAGE_OPTIONAL_HEADER)和(IMAGE_SECTION_HEADER)之间就添加了一段额外的空间

原因

1.PE规定 IMAGE_OPTIONAL_HEADER的大小(sizeof…) 是要另外输入的

(为了可以插入不同形态的IMAGE_OPTIONAL_HEADER结构体,而不同形态的他们之间大小也不同

2.IMAGE_SECTION_HEADER 并不是紧跟在IMAGE_OPTIONAL_HEADER 结构体后面的,而应该 在IMAGE_OPTIONAL_HEADER加上SizeOfOptionalHeader的地址后的位置

3.根据2便可以知道,将E0修改为148(>E0)会在 IMAGE_OPTIONAL_HEADER 和 IMAGE_SECTION_HEADER之间多出来一大块额外空间。

查看插入的代码

先看 IMAGE_OPTIONAL_HEADER 的结束位置

在这里插入图片描述

在D7附近

在stud_PE查看D7~170(节区起始位置)

在这里插入图片描述

再放入od中看一下这段地址的代码

在这里插入图片描述

之所以pe查看程序会出错,是因为将上面的解码代码错误的识别为PE文件头信息。

修改可选头中的NumberOfRvaAndSize

NumberOfRvaAndSize

是用来指出后面的IMAGE_DATA_DERICTOR结构体的元素数量
在这里插入图片描述

具体修改

NumberOfRvaAndSize 的改变也是为了在文件头中插入自身代码

原本的值是10

在这里插入图片描述

修改后为A

在这里插入图片描述

所以它的后6个元素就可以自由使用,添加代码了

88~ D7是data directory数组,剩下的蓝色部分是自由添加的代码(D8~107

在这里插入图片描述

在od中同样可以看到解码代码

在这里插入图片描述

IMAGE_SECTION_HEADER的空间利用

节区中有很多不会影响程序正常运行的区域

在这里插入图片描述

上图为IMAGE_SECTION_HEADER,方框内的区域便不会影响正常运行

重叠节区

在这里插入图片描述

看一下节区头,发现 第一节区和第三节区的大小和文件偏移地址是一样的 ,内存的起始RVA和内存大小是不一样的

正常情况下,PE装载器会把文件分别映射到3个不同的内存位置(文件头、第一节区、第三节区)。就是说用相同的文件可以分别创建出处于不同位置的、大小不同的内存映像。

因此,可以理解为,在文件中,第二个节区很大,文件就压缩存储在这里,在程序运行的时候,PE装载器会对文件进行解压缩并且进行内存的映射,将文件还原到第一个节区。(原来的文件有三个节区,都被解压到第一个节区)。
在这里插入图片描述

所以说,压缩的notepad在内存的第二节区,解压缩时被记录到第一节区。

并且原文件的 内存映像 会被整体解压,所以程序能正常运行。

RVA to RAW的特征

UPack的 FileAlignment 的值是200,所以PointerOfRawData 会被转换为200的整数倍,不足200的为0。

此文件的EP值是1018
在这里插入图片描述

根据rva to raw的转换

在这里插入图片描述

计算出压缩后的EP为:28

在这里插入图片描述

由于 PointerOfRawData 会被转换为200的整数倍 ,所以上面的计算是错误的,PointerOfRawData 的值应该是0

所以EP正确的Raw值是18.

在od中查看

在这里插入图片描述

IMAGE_IMPORT_DESCRIPTOR array(导入表)的特征

导入表是 一系列 IMAGE_IMPORT_DESCRIPTOR 结构体组成的数组

在这里插入图片描述

而且该数组(导入表)的 结尾必须是一个NULL结构体

原理

利用文件内容映射到内存时, 只映射文件结束地址前的内容 ,所以映射到内存中的节区结尾部分(如下图内存27200后的节区)永远被NULL填充,符合

结尾必须是一个NULL结构体

的要求,所以程序可以正常运行。

在这里插入图片描述

IAT(导入地址表,从dll额外导入了哪些API?)

导入表(经RVA to RAW转换后得到的地址1EE):

在这里插入图片描述

在这里插入图片描述

通过上面两图进行对应的映射后,得到结构体重要成员的信息:

在这里插入图片描述

因为header区域中RVA 和 RAW 值相等

所以在hxd看
在这里插入图片描述

它占用了原本不使用的DOS头区域(好节省)

所以知道了dll的名称,看看从中导入了哪些API函数

将IAT的RVA(11E8,一节区) 转化成RAW: 1E8 (一节区的RawOffset被强制换成0)

IAT(文件偏移):

在这里插入图片描述

其中记录着28 和 BE 两个地址值:

由于header区域rva和raw相同,所以看一下28 和 BE
在这里插入图片描述

在这里插入图片描述

可以看到导入的两个API:

LoadLibraryA
GetProcAddress
Zsc_02
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
UPack PE头文件分析
wk19951125的博客
02-13 166
UPack PE头文件分析Stud_PE比较PE头文件原始的PE文件UPack后的PE文件分析UPackPE文件重叠文件IMAGE_FILE_HEADER.SizeOfOptionalHeaderIMAGE_OPTIONAL_HEADER.NumberOfRvaAndSizes重叠节区RVA to RAW导入表参考文献 Stud_PE 查看UPack后的文件: 比较PE头文件 原始的P...
2.2 PE结构:文件详细解析
最新发布
CSDN
09-04 1万+
PE结构是`Windows`系统下最常用的可执行文件格式,理解PE文件格式不仅可以理解操作系统的加载流程,还可以更好的理解操作系统对进程和内存相关的管理知识,DOSPE文件开的一个固定长度的结构体,这个结构体的大小为64字节(0x40)。DOS包含了很多有用的信息,该信息可以让Windows操作系统使用正确的方式加载可执行文件。从DOS文件`IMAGE_DOS_HEADER`的`e_lfanew`字段向下偏移`003CH`的位置,就是真正的PE文件的位置,该文件是由`IMAGE_NT_HEAD
安全攻防知识——CTF之MISC
Karka_的博客
08-04 1828
本周技术分享将介绍安全攻防知识中的MISC部分。MISC,中文即杂项,包括隐写、数据还原、脑洞、社会工程、压缩包解密、流量分析取证、与信息安全相关的大数据等。让我们一起来了解更多吧!
哈夫曼压缩压缩文件头文件的不同方式
DoneSpeak的博客
02-14 1560
这是对之前的[哈夫曼编码–压缩与解压]的一个补充说明,这里只做简单的原理介绍,不做过多的具体实现。具体包含五种不同的写入头文件方式。
庖丁解牛之UPack工作原理及实例分析(2)
fengling59的专栏
12-29 776
 绿盟科技博客巨人背后的安全专家 Toggle navigation Add a menu Search for: 庖丁解牛之UPack工作原理及实例分析(2) 3 days ago2015-12-28 孙 建坡 阅读: 128 UPack是软件逆向工程中常见课题;上一篇已经对Runtime压缩基础知识进行了介绍
Stud_PE PE分析工具
01-30
PEview功能强大,可以分析upack壳的pe。懂的人都明白不用多说
Exeinfo PE-ver0.0.1.7 非常好用的查壳工具
10-13
查壳工具 Exeinfo PE-ver0.0.1.7 带插件,可以upack upx包 懂的下
Python库 | upack-0.0.2.tar.gz
05-24
资源分类:Python库 所属语言:Python 资源全名:upack-0.0.2.tar.gz 资源来源:官方 安装方法:https://lanzao.blog.csdn.net/article/details/101784059
winupack加壳工具
01-10
1.极高的无损压缩率,但比其他常用工具较慢. 2.软件本身极小,不到20K. 3.支持长文件名. 4.支持通配符. 5.支持固实压缩技术. 6.支持制作自解压文件. 7.图形界面,支持文件拖放。
在Python的struct模块中进行数据格式转换的方法
12-25
Python是一门非常简洁的语言,对于数据类型的表示,不像其他语言预定义了许多类型(如:在C#中,光整型就定义了8种),它只定义了六种基本类型:字符串,整数,浮点数,元组,列表,字典。通过这六种数据类型,我们...
PE文件结构分析(包括DOS、节表的详解+最小化压缩/修改PE文件思路实现讲解)
05-11
目录 一、 PE文件总述 2 1、PE文件和COM文件 2 2、PE文件基本结构 2 二、 DOS 3 三、 PE文件 4 1、PE标识 4 2、映像文件IMAGE_FILE_HEADER 4 3、可选映像头文件 5 四、 节表和节 8 1、节表 8 2、RVA和FOA 9 3、节 9 五、 修改思路 14 1、基本 14 2、进阶 14 六、 实现 15 1、修改后文件 15 1、查找序列号的错误打开方式和正确打开方式 16
视频文件文件解析--mp4
01-16
视频文件文件解析--mp4
DirectShow_qedit.h压缩头文件
03-28
qedit.h,关于qedit.h,因为DirectShow已经逐渐被抛弃,sdk不完整,可以加入改文件解决
PE之IMAGE_OPTIONAL_HEADER解析
ChuMeng1999的博客
10-17 1788
目录预备知识一、相关实验二、C32Asm三、LordPE实验目的实验环境实验步骤一实验步骤二1.基地址与入口地址的查看2.子系统查看3.SizeOfImage验证实验步骤三 预备知识 一、相关实验 本实验要求您已经认真学习和完成了《IMAGE_DOS_HEADER解析》、《PE之IMAGE_FILE_HEADER解析》。 二、C32Asm C32Asm是一款国产的16进制编辑器,可以十分方便的对二进制文件进行各种编辑操作,同时支持反汇编操作。 本系列实验主要使用C32Asm作为编辑器,同类的编辑工具还有W
文件分析
Elvira
08-15 1230
自从参加集训以来,发现自己了解到了很多方面的东西,这一篇来写一写文件
UPack PE文件分析与调试
Tokameine的博客
03-06 334
参考文章:https://blog.csdn.net/learn112/article/details/112029389 您可以将本篇文章当作该参考文章的拓展版、翻译版、压缩版,总之算是结合之后自己上手的过程记录。若您发现文章中出现错误,请务必指正。 范例:notepad_upack.exe 准备工具:010Editor、Stud_PE UPack:个人对其理解为一种压缩方法。将文件经过一定的算法编码压缩,在启动被压缩文件时将会按照逆过程解码。而其中比...
UPack PE文件分析
learn112的博客
12-31 478
UPack PE文件分析 UPack UPack 是一个运行时压缩器,它会将PE文件打乱,使正常PE文件变形,从而让分析者摸不清脑,另外,经过UPack压缩PE文件会小很多 经过UPack压缩PE文件 打开经过UPack压缩PE文件,我们可以看到文件结构与普通PE文件大不一样(包括文件,文件节区),如下图: DOS有,但是只有一个签名5A4D(MZ) DOS存根没有了 看到00004550(PE)说明NT有,但是这个NT距离DOS也太近了。。。 NT的签名后面接着就是文件(20个字节
手工打造超小PE文件
Dustfly的专栏
02-24 4240
手工打造超小PE文件作者:Sunline lisunlin0@yahoo.com.cn代码下载:http://download.csdn.net/source/359340最近试着做一些比较小的PE文件, 系统可识别的EXE做到了119 Bytes(压缩包中的MinApp_06.bat.exe文件, 期望再减小2 bytes左右), 弹出一个对话
常见文件 类型
iachel的专栏
09-04 7630
比如,一个文件没有后缀名,无法判断是什么类型。或者 这时候,WinHex打开,前几个字符对应类型即可。 gzip 文件:1F8B08 http网页gzip压缩 JPEG (jpg),   文件:FFD8FF               PNG (png),   文件:89504E47 文......
LogFeaturePack: Error: Error in Feature pack D:/UnrealEngine4/UE_5.0/UE_5.0/FeaturePacks/TP_VirtualRealityBP.upack. Failed to parse manifest: Invalid Json Token. Line: 43 Ch: 4
07-16
这是 Unreal Engine 的日志中的一条错误信息,指示在解析特性包(Feature Pack)的清单文件时发生了错误。具体是位于 D:/UnrealEngine4/UE_5.0/UE_5.0/FeaturePacks/TP_VirtualRealityBP.upack 的 TP_VirtualRealityBP 特性包。 错误信息表明在解析清单文件时遇到了无效的 JSON 标记。具体指明了错误发生在第 43 行的第 4 个字符位置。 要解决这个问题,你可以尝试以下几个步骤: 1. 检查清单文件中的 JSON 格式是否正确,确保没有语法错误或缺失的标记。 2. 验证特性包是否完整且没有损坏。可以尝试重新下载或替换特性包文件。 3. 如果你自己创建了特性包,确保清单文件与实际文件结构一致,并且符合 Unreal Engine 的要求。 4. 确保使用的 Unreal Engine 版本与特性包兼容。有些特性包可能需要特定版本的引擎才能正常解析和使用。 如果问题仍然存在,可以尝试在 Unreal Engine 的官方支持论坛或开发者社区中寻求帮助,提供更详细的错误信息和背景信息,以便其他开发者能够更好地帮助你解决问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Zsc_02

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值