一、什么是压缩?
[1]告诉我们所谓压缩就是找到一种方法,将重复数据以另一种方式表示,以此达到减小数据长度但是不减小信息量的目的。如果我们对数据的准确性要求不高(比如视频,音频等),那么我们可以牺牲一点准确率来换取更高的压缩率(数据长度更短),这就是有损压缩;如果对准确性要求非常高,不允许压缩解压后有数据不一致的情况,那么要用无损压缩,这种方式从直觉上想象就知道压缩率不如有损压缩。
二、运行时压缩
所谓运行时压缩其实是:
- 运行前压缩;
- 运行时解压;
- 任何时刻仍然遵循PE规范,仍然是一个PE文件。
三、用压缩器UPX对notepad.exe进行压缩
这里下载upx,下载完之后先复制一份notepad.exe,然后对其用upx压缩,然后重命名为notepad_upx.exe以便比较。
用PE-bear对压缩前与压缩后进行分析,分析哪些字段变更了以及浅析原因。
DOS头:没变。
DOS stub:没变。
NT头:Signature没变;
File Header发生改变:节区数字段由7变3。
Optional Header发生改变:
size of code变小(运行时压缩器把代码压缩了);
size of initialized data变小(已初始化的数据变少了,原因暂时不清楚);
size of uninitialized data由0变大(未初始化的数据变多了,原因暂时不清楚);
entry point与base of code变化(upx将节区进行压缩合并,所以代码区.text发生变
化,所以两个字段发生变化);
size of image变大(指的是节区所占的虚拟空间变大,暂时不知道原因);
size of headers变小(压缩前有的字段压缩后也有,这里意味着缩小了磁盘中节区
与header之间的”缝隙“);
checksum变0(原因暂时不清楚);
dll characteristics变化(先不关注,原因暂时不清楚);
data directory发生变化(这里内容过多,以后再说)。
节区头: 发生变化
需要关注的地方有:1.节区被压缩合并后,节区在磁盘中占的空间变小了;2.压缩后PE文件被加载到内存后,各个节区之间没有“缝隙”;3.磁盘中声明了一个空节区UPX0,但是加载到内存后,这个节区我们要给它分配一大片虚拟空间。
对于第一点很好理解,就是压缩的最初目的;第二点可能只是个别现象,原因待补充;第三点书里的意思是在运行瞬间将UPX1节区中被压缩的代码解压到UPX0节区对应的虚拟空间,解压过程结束后,从原文件的EP代码处开始执行。
书里有调试步骤,这里就不重复了,主要整理一下整个流程(目的是从notepad_upx.exe中找到未压缩前的代码入口OEP,注意区分notepad_upx.exe的代码入口EP):
1.用OD打开notepad_upx.exe,从EP开始分析;
2.第一个循环没说有什么用,可能意义不大;
3.第二个循环依次读取UPX1的数据,经过解压运算后写入UPX0的空间;
4.第三个循环目的是恢复源代码的call/jmp指令的destination address;
5.第四个循环恢复IAT。UPX在压缩文件前会提取原文件的IAT中的API名称形成一个字符串,然后加入GetProcAddress()代码以作获得地址用;notepad_upx.exe此时已经有GetProcAddress()的代码了,所以程序往下执行,通过API字符串找到API地址,将其写入notepad_upx.exe的某处(IAT处),至此,恢复了IAT。
6.jump to OEP。
注:可以根据压缩器的特点快速找到OEP,UPX中,解压代码在PUSHAD/POPAD指令之间,跳转到OEP的jmp指令就在POPAD下面。
总结
1.压缩后的PE文件仍然是PE文件,因为要执行解压操作就必须是可执行文件;
2.解压代码到某段虚拟空间后该空间就变为新的.text段,跳到该段的入口处就能与原来的文件一样开始执行原来的代码。
扫一扫
582
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
