Upack文件分析学习笔记

最新推荐文章于 2022-04-08 19:53:19 发布
最新推荐文章于 2022-04-08 19:53:19 发布
阅读量2k 收藏 1
点赞数 1
分类专栏: 逆向工程核心原理学习 文章标签: Upack文件分析 PE文件结构分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_20307987/article/details/51160867
版权

Upack的PE文件分析


原来的notepad.exe文件头

 

 

Upack压缩后的文件头

 

看到upack后的文件头有点奇怪

用Stud_PE分析一下文件头(PEView分析不出来)


在PE头最重要的是e_magic和e_lfanew,可以看到这里e_lfanew的值为10,就是说IMAGE_NT_HEADERS的起始位置是10,更具PE的规范,一个正常的程序中

e_lfanew = MZ文件头大小(40)+DOS存根大小(可变)

这里u_lfanew为10但是不违反PE的规范,只是钻了规范的空子,这样做就可以把MZ文件头与PE文件头重叠在一起。

详细地看一下,发现Upack把IMAGE_FILE_HEADER.SizeOfOptionalHeader的值修改为148,这个值比正常的值(E0)要大一些


然后看到IMAGE_OPTIONAL_HEADER的起始地址是28,所以加上148是170,所以

IMAGE_SECTION_HEADER是从偏移170开始的。

 

问题那么UPack为什么要修改这个值呢?

Upack的基本特征就是把PE文件头变形,像扭曲的麻花一样,向文件头适当的位置插入解码需要的代码。增大SizeOfOptionHeader后,就在IMAGE_OPTIONAL_HEADER与IMAGE_SECTION_HEADER之间增加了额外的空间。Upack就向这个区域添加解码代码。


从图中看出IMAGE_OPTIONAL_HEADER的结束位置是D7,因此从D7到170之间的数据都是解码代码了。

 

用调试器看一下


这里是Upack的解码代码,如果PE工具把这里识别为PE文件头信息,就会导致错误。

 

IMAGE_OPTIONAL_HEADER.NumberOfRvaAndSizes

从下面的图中可以看到这个值也被修改了,原来是10,现在修改成了A,这个值是用来指出紧接在后面的IAMGE_DATA_DIRECTORY结构体数组的元素个数。在PE规范中这个值是10,这里改为了A,所以后面的6个元素被忽略。


根据结构体的定义,最后的6个元素现在没用了,被用来写Upack的代码。

 


箭头所指的地方就是Upack自己的解码代码。可以用调试器来看一下。

 

IMAGE_SECTION_HEADER

Upack会向PE文件头中不使用的区域覆写自身的代码和数据。现在才发现pe头中有这么多未使用的区域。

 

 

重叠节区

Upack的主要特征之一就是可以随意重叠PE节区与文件头


看一下节区头,发现第一节区和第三节区的大小和文件偏移地址是一样的,但是内存的其实RVA和内存大小是不一样的,这是为什么呢?

正常情况下,PE装载器会把文件分别映射到3个不同的内存位置(文件头、第一节区、第三节区)。就是说用相同的文件可以分别创建出处于不同位置的、大小不同的内存映像。

因此,可以理解为,在文件中,第二个节区很大,文件就压缩存储在这里,在程序运行的时候,PE装载器会对文件进行解压缩并且进行内存的映射,将文件还原到第一个节区。(原来的文件有三个节区,都被解压到第一个节区)。

 

RVAtoRAW

这里就一句话要说:Upack的FileAlignment为200,所以PointerToRawData的值应该是0、200、400、600等。

 

R_1v3r
关注
专栏目录
UPack 压缩PE文件分析(特点总结)
m0_62690279的博客
04-15 1133
文章目录UPack文件分析(特点总结)概述压缩方法PE文件头部分的特征表现特征具体改变重叠文件头具体修改文件头(IMAGE_FILE_HEADER)中可选头(IMAGE_OPTIONAL_HEADER)的长度(E0)原理(创造空间,插入代码)原因查看插入的代码修改可选头中的NumberOfRvaAndSizeNumberOfRvaAndSize具体修改IMAGE_SECTION_HEADER的空间利用重叠节区RVA to RAW的特征IMAGE_IMPORT_DESCRIPTOR array(导入表)的
UPack PE文件分析
learn112的博客
12-31 505
UPack PE文件分析 UPack UPack 是一个运行时压缩器,它会将PE文件打乱,使正常PE文件变形,从而让分析者摸不清头脑,另外,经过UPack压缩的PE文件会小很多 经过UPack压缩的PE文件 打开经过UPack压缩的PE文件,我们可以看到文件结构与普通PE文件大不一样(包括文件头,文件节区),如下图: DOS头有,但是只有一个签名5A4D(MZ) DOS存根没有了 看到00004550(PE)说明NT头有,但是这个NT头距离DOS头也太近了。。。 NT头的签名后面接着就是文件头(20个字节
UPack PE文件头详细分析
qq_39249347的博客
08-19 559
UPack是一款PE文件的运行时压缩器,其特点是用一种非常独特的方式对PE头进行变形,UPack会引起诸多现有的PE分析程序错误。 许多恶意代码使用UPack压缩字节的恶意代码并发布,由于这样的恶意代码非常多,现在大部分杀毒软件干脆将所有UPack压缩的文件全部识别为恶意文件并删除。 使用UPack压缩notepad.exe 将upack.exe与notepad.exe放到同一个文件夹下,输入如下命令: C:\Users\12586\Downloads\example\02\18\bin>Up.
UPack文件分析学习笔记
qq_45444695的博客
02-17 1509
前言:UPack是一款对PE文件头进行变形的运行时压缩器。由于它独特的压缩方式,使得很多人刚开始分析时一头雾水,无从下手,因为它颠覆了很多人对PE头传统的理解,导致很多人刚开始看到经过它压缩的文件时都认为这些文件或许不能运行,但是事实上是可以的。虽说UPackPE头进行了变形操作,但是我们仍然能从一些蛛丝马迹当中发现其原理。 UPack压缩notepad 我们使用upack 0.39.exe对w...
UPack调试
qq_39249347的博客
08-19 330
Ollydbg运行错误 由于Upack会将IMAGE_OPTIONAL_HEADER中的NumberOfRvaAndSizes值设置为A,所以使用OllyDbg打开notepad_upack.exe文件时,初始检查过程中会弹出错误消息对话框: 按确认按钮关闭对话框,上面这个错误导致OllyDbg无法转到EP位置,停留在ntdll.dl区域: 该现象是由OllyDbg的Bug引起的,所以需要强制设置EP,首先要查找EP位于何处,下面使用Stud_PE查找EP的虚拟地址。 ImageBase为010.
逆向工程核心原理之UPack PE文件
wangtiankuo的博客
07-02 779
0x0 两个文件对比正常的notepad.exe使用Upack压缩后的notepad.exe,可以看到无法正常读取PE文件头。  0x1  重叠文件头IMAGE_NT_HEADER的起始位置是可变的 0x2  修改SizeOfOptionalHeader的值SizeOfOptionalHeader的值被修改成了0x0148(原来定义的是32位是E0,64位是F0)。IMAGE_OPTION_HEA...
《逆向工程核心原理》学习笔记7 UPack加壳
EloflyS的博客
03-01 1277
《逆向工程核心原理》学习笔记7 UPack加壳 (好久没更了orz) UPack是一款用于给软件加壳的程序,通过对PE头的变形和压缩,达到不让别人识别文件作用的功能。因此骇客经常使用这种加壳程序对他们所编写的病毒进行包装。有些杀毒软件会不加分辨的直接把所有用UPack压缩的文件全部识别为病毒。(本身这个软件没有恶意) 首先要下载UPack,下载链接在这 https://download.csdn....
UPackPE文件分析与OEP查找
Mi1k7ea
06-11 1596
UPackUltimate PE压缩器),是一种PE文件的运行时压缩器,特点是使用独特的方法对PE头进行变形。UPack会使许多的PE分析程序无法正常运行,因此很多恶意代码都是通过UPack进行压缩。   UPack PE文件分析 使用UPack压缩notepad.exe: UPack会直接压缩源文件而不会进行备份。压缩后的notepad文件更名为notepad_upack。 使...
《逆向工程核心原理》第18章----分析Upack
qq_55785697的博客
04-08 291
UpackPE形式乍一看和规范相去甚远,实际上每一处都是精心设计的,在混淆人工分析的同时完美符合PE规范。主要是采取了以下多种手段。 一、重叠PE文件头 MZ文件头中对程序运行有用的只有标志位和偏移03C处NT映像头的起始位置,其余地方都是无影响可随意填充其他内容;依此可将NT映像头与MZ文件头重叠。 二、修改结构长度扩充空余空间 1.在IMAGE_FILE_HEADER结构中,SizeofOptionHeader这个参数代表可选头的大小,由于在PE32中大小是固定的E0,所以当参数大小超过E0时
庖丁解牛之UPack工作原理及实例分析(3)
fengling59的专栏
12-29 635
 绿盟科技博客巨人背后的安全专家 Toggle navigation Add a menu Search for: 庖丁解牛之UPack工作原理及实例分析(3) 3 days ago2015-12-28 孙 建坡 阅读: 131 UPack是软件逆向工程中常见课题;前两篇对于Runtime压缩基础知识和UPack
手动脱WinUpack 壳实战
07-15
手动脱WinUpack 壳实战的分析文档和脱壳后程序,这个脱壳程序是吾爱破解练习第6题,比较简单。
winupack加壳工具
01-10
1.极高的无损压缩率,但比其他常用工具较慢. 2.软件本身极小,不到20K. 3.支持长文件名. 4.支持通配符. 5.支持固实压缩技术. 6.支持制作自解压文件. 7.图形界面,支持文件拖放。
WinUpack0.39
06-22
压缩壳\WinUpack0.39.exe
瑞星杀毒软件源代码
07-22
最新版本的瑞星杀毒软件源代码
WinUpack 0.39汉英
03-08
WinUpack 0.39汉英,加壳的好工具,属于压缩壳的一种方法,这是最后的一个版本,然后再没更新了。
庖丁解牛之UPack工作原理及实例分析(2)
fengling59的专栏
12-29 853
 绿盟科技博客巨人背后的安全专家 Toggle navigation Add a menu Search for: 庖丁解牛之UPack工作原理及实例分析(2) 3 days ago2015-12-28 孙 建坡 阅读: 128 UPack是软件逆向工程中常见课题;上一篇已经对Runtime压缩基础知识进行了介绍
UPack调试笔记
qq_45444695的博客
02-23 413
文章目录解码函数解密函数重建IAT表OPE 前言:之前我们有说到,upack压缩过后的文件文件头部发生了变化,同时正常文件的第一,第三节区也被压缩到了notepad的第二个节区(第一,第三节区的部分空间已经映射了文件的头部)像麻花一样。 我们知道正常的PE文件文件的第一节区应该是代码段,第二节区是数据段。upack压缩后的数据挤在第二节区,UPack解码需要将该节区的部分数据解密到第一节区。 ...
如何制作 ue4 的资源 upack 文件
tianxiaojie_blog的博客
04-13 1750
首先需要找到【UnrealPak.exe】执行文件,在下. 然后指定生成文件的位置,然后指定需要生成 .upack文件
UPack PE文件分析与调试
Tokameine的博客
03-06 354
参考文章:https://blog.csdn.net/learn112/article/details/112029389 您可以将本篇文章当作该参考文章的拓展版、翻译版、压缩版,总之算是结合之后自己上手的过程记录。若您发现文章中出现错误,请务必指正。 范例:notepad_upack.exe 准备工具:010Editor、Stud_PE UPack:个人对其理解为一种压缩方法。将文件经过一定的算法编码压缩,在启动被压缩文件时将会按照逆过程解码。而其中比...
LogFeaturePack: Error: Error in Feature pack D:/UnrealEngine4/UE_5.0/UE_5.0/FeaturePacks/TP_VirtualRealityBP.upack. Failed to parse manifest: Invalid Json Token. Line: 43 Ch: 4
最新发布
07-16
这是 Unreal Engine 的日志中的一条错误信息,指示在解析特性包(Feature Pack)的清单文件时发生了错误。具体是位于 D:/UnrealEngine4/UE_5.0/UE_5.0/FeaturePacks/TP_VirtualRealityBP.upack 的 TP_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值