UPack的PE文件头分析与OEP查找

最新推荐文章于 2022-05-04 10:15:39 发布
最新推荐文章于 2022-05-04 10:15:39 发布
阅读量1.5k 收藏
点赞数
分类专栏: 逆向 文章标签: 逆向工程核心原理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ski_12/article/details/80656921
版权

UPack(Ultimate PE压缩器),是一种PE文件的运行时压缩器,特点是使用独特的方法对PE头进行变形。UPack会使许多的PE分析程序无法正常运行,因此很多恶意代码都是通过UPack进行压缩。

 

UPack PE文件头分析

使用UPack压缩notepad.exe:

UPack会直接压缩源文件而不会进行备份。压缩后的notepad文件更名为notepad_upack。

使用PEView尝试能否正常查看:

 

可以看到,新版的PEView也无法正常读取PE头信息,没有读取到NT头和节区头等信息。

 

使用Stud_PE工具查看PE头信息:

Stud_PE可以读取UPack压缩后的PE文件信息。

 

 

比较PE文件头:

用Win Hex打开正常的notepad.exe文件:

 

可以看到,这是典型的PE头格式,依次的顺序为IMAGE_DOS_HEADER、DOS Stub、IMAGE_NT_HEADERS、IMAGE_SECTION_HEADER。

用Win Hex打开使用UPack压缩后的notepad文件:

 

可以看到,MZ与PE签名离得很近,并且没有了DOS存根,出现了大量字符串,中间夹杂着一些代码。

 

分析UPack的PE文件头:

1、重叠文件头:

重叠文件头是压缩器常用的技法,可以把MZ文件头(IMAGE_DOS_HEADER)与PE文件头(IMAGE_NT_HEADERS)重叠在一起,可有效节约文件头的空间。

使用Stud_PE查看MZ文件头(Headers选项卡的Basic HEADERS tree view in hexeditor):

 

可以看到,该DOS头确实含有e_magic和e_lfanew两个重要成员,其余的成员对程序运行并不会产生影响。

根据PE文件格式规范,IMAGE_NT_HEADERS的起始位置是可变的,即由e_lfanew的值确定,在一般的PE文件中,e_lfanew = DOS头大小(40) + DOS存根大小(可变,VC++的为A0) = E0。这里可看到UPack中e_lfanew的值为10,其并不违反PE规范,使得DOS头与NT头得以整合到一起。

 

2、IMAGE_FILE_HEADER.SizeOfOptionalHeader

修改IMAGE_FILE_HEADER.SizeOfOptionalHeader的值,可以向文件头插入解码代码。

SizeOfOptionalHeader表示PE文件头中IMAGE_OPTIONAL_HEADER结构体的长度(E0)。UPack将该值修改为148:

最低0.47元/天 解锁文章
Mi1k7ea
关注
专栏目录
UPack调试——查找OEP
wk19951125的博客
02-14 193
UPack调试——查找OEPOD运行错误解码循环设置IAT参考文献 OD运行错误 OD直接加载会报错,通过Stud_PE确定EP虚拟地址: 并在OD中通过New origin here命令进行设置。 解码循环 设置IAT 一般而言,压缩器执行完解码循环后会根据原文件重新组织IAT: 参考文献 《逆向工程核心原理》 ...
UPack PE文件详细分析
qq_39249347的博客
08-19 559
UPack是一款PE文件的运行时压缩器,其特点是用一种非常独特的方式对PE进行变形,UPack会引起诸多现有的PE分析程序错误。 许多恶意代码使用UPack压缩字节的恶意代码并发布,由于这样的恶意代码非常多,现在大部分杀毒软件干脆将所有UPack压缩的文件全部识别为恶意文件并删除。 使用UPack压缩notepad.exe 将upack.exenotepad.exe放到同一个文件夹下,输入如下命令: C:\Users\12586\Downloads\example\02\18\bin>Up.
PE文件格式概述
热门推荐
bairny的专栏
05-22 1万+
本章提要·           PE文件格式概述·           PE文件结构·           如何获取PE文件中的OEP·           如何获取PE文件中的资源·           如何修改PE文件使其显示MessageBox的实例2.1  引言通常Windows下的EXE文件都采用PE格式。PE是英文Portable Executable的缩写
VC读取PE文件OEP(程序入口)
weixin_33797791的博客
06-12 827
为什么80%的码农都做不了架构师?>>> ...
查找OEP PE入口点
Mr.Out的专栏
01-19 1796
oep是什么oep是程序入口点oep=original entry pointep=entry point O是指原来的意思E是指入口P是指点所以全称是原入口点的意思如何找oep(入口点)PE后两行半再过四个字节PE:一开始数四行退四个字节
UPack PE文件分析
learn112的博客
12-31 505
UPack PE文件分析 UPack UPack 是一个运行时压缩器,它会将PE文件打乱,使正常PE文件变形,从而让分析者摸不清脑,另外,经过UPack压缩的PE文件会小很多 经过UPack压缩的PE文件 打开经过UPack压缩的PE文件,我们可以看到文件结构与普通PE文件大不一样(包括文件文件节区),如下图: DOS有,但是只有一个签名5A4D(MZ) DOS存根没有了 看到00004550(PE)说明NT有,但是这个NT距离DOS也太近了。。。 NT的签名后面接着就是文件(20个字节
UPack 压缩PE文件分析(特点总结)
m0_62690279的博客
04-15 1133
文章目录UPack 文件分析(特点总结)概述压缩方法PE文件部分的特征表现特征具体改变重叠文件具体修改文件(IMAGE_FILE_HEADER)中可选(IMAGE_OPTIONAL_HEADER)的长度(E0)原理(创造空间,插入代码)原因查看插入的代码修改可选中的NumberOfRvaAndSizeNumberOfRvaAndSize具体修改IMAGE_SECTION_HEADER的空间利用重叠节区RVA to RAW的特征IMAGE_IMPORT_DESCRIPTOR array(导入表)的
Stud_PE PE分析工具
01-30
而Stud_PE,作为一款专业的PE分析工具,相较于其他同类工具如PEview,其功能更为全面,尤其在处理UPack壳的PE分析方面表现出色。 Stud_PE核心优势在于其深度解析能力。它不仅能够提供标准的PE文件信息,如节区...
逆向工程核心原理》第18章----分析Upack
qq_55785697的博客
04-08 290
UpackPE形式乍一看和规范相去甚远,实际上每一处都是精心设计的,在混淆人工分析的同时完美符合PE规范。主要是采取了以下多种手段。 一、重叠PE文件 MZ文件中对程序运行有用的只有标志位和偏移03C处NT映像的起始位置,其余地方都是无影响可随意填充其他内容;依此可将NT映像与MZ文件重叠。 二、修改结构长度扩充空余空间 1.在IMAGE_FILE_HEADER结构中,SizeofOptionHeader这个参数代表可选的大小,由于在PE32中大小是固定的E0,所以当参数大小超过E0时
查看pe文件信息的工具
07-03
PE文件解析大全 - 可执行文件,文件编码分析!... PE 可选PE 可执行文件中接下来的 224 个字节组成了 PE 可选部。虽然它的名字是“可选部”,但是请确
获取PE文件OEP值 (源码)
驱动开发
06-05 1316
两种方法读取PE文件OEP值:一是 直接读取文件,二是 通过内存映射。#include "stdafx.h"#include //-------------------------------//read the file of .exe  get the OEP (Original Entry Point)//-------------------------------BOOL Re
指针实现找PE OEP
yeook的专栏
12-16 555
//指针实现找出OEP如口点  PE文件//PE  在debug版本下从地址0x00400000  往下找第4行 最后4位地址存放的数据就是偏移量   加上0x00400000  //  再往下数2行半   之后开始的4个字节存储的值就是OPE的入口点偏移值   //.exe文件用WinHex打开  地址是00000000开始  查找方式和debug版本下一样   看如下截图#includ
滴水三期:day34.2-数据目录
Edimade的博客
05-04 945
一、数据目录概述>二、作业(1.编程输出全部目录项)
逆向工程——查看PE文件
sinat_42424364的博客
09-19 4688
dumpbin和objdump工具的使用 1.打开vs2010->tools->visual studio prompt vs2017 在帮助文档下使用dumpbin工具查看PE文件部信息、节、节表信息 2.在linux系统中装objdump工具并使用(ubuntu系统可以使用apt-get进行安装) 3.使用二进制编辑器winhex,查看实验所用到的二进制程序(exe)...
庖丁解牛之UPack工作原理及实例分析(2)
fengling59的专栏
12-29 849
 绿盟科技博客巨人背后的安全专家 Toggle navigation Add a menu Search for: 庖丁解牛之UPack工作原理及实例分析(2) 3 days ago2015-12-28 孙 建坡 阅读: 128 UPack是软件逆向工程中常见课题;上一篇已经对Runtime压缩基础知识进行了介绍
【翻译】“PE文件格式”1.9版 完整译文(附注释)
10-30 1160
标 题: 【翻译】“PE文件格式”1.9版 完整译文(附注释)作 者: ah007时 间: 2006-02-28,13:32链 接: http://bbs.pediy.com/showthread.php?threadid=21932$Id: pe.txt,v 1.9 1999/03/20 23:55:09 LUEVELSMEYER Exp $PE文件格式系列译文之一----          【
UPack PE文件分析与调试
Tokameine的博客
03-06 354
参考文章:https://blog.csdn.net/learn112/article/details/112029389 您可以将本篇文章当作该参考文章的拓展版、翻译版、压缩版,总之算是结合之后自己上手的过程记录。若您发现文章中出现错误,请务必指正。 范例:notepad_upack.exe 准备工具:010Editor、Stud_PE UPack:个人对其理解为一种压缩方法。将文件经过一定的算法编码压缩,在启动被压缩文件时将会按照逆过程解码。而其中比...
脱壳:OEP(即程序入口点)查找 --- 基本思路和常见方法
turbocc 因程序而激情
05-20 5474
OEP:程序的入口点,软件加壳就是隐藏了OEP(或者用了假的OEP), 只要我们找到程序真正的OEP,就可以立刻脱壳。PUSHAD (压栈) 代表程序的入口点,POPAD (出栈) 代表程序的出口点,与PUSHAD相对应,一般找到这个,OEP就在附近。 常见寻找OEP脱壳的方法 方法一: 1.用OD载入,不分析代码! 2.单步向下跟踪F8,是向下跳的让它实现 3.遇到程序往回跳的(包括循环),我们在下一句代码处按F4(或者右健单击代码,选择断点——运行到所选) 4.绿色线条表示跳转没实...
LogFeaturePack: Error: Error in Feature pack D:/UnrealEngine4/UE_5.0/UE_5.0/FeaturePacks/TP_VirtualRealityBP.upack. Failed to parse manifest: Invalid Json Token. Line: 43 Ch: 4
最新发布
07-16
这是 Unreal Engine 的日志中的一条错误信息,指示在解析特性包(Feature Pack)的清单文件时发生了错误。具体是位于 D:/UnrealEngine4/UE_5.0/UE_5.0/FeaturePacks/TP_VirtualRealityBP.upack 的 TP_VirtualRealityBP 特性包。 错误信息表明在解析清单文件时遇到了无效的 JSON 标记。具体指明了错误发生在第 43 行的第 4 个字符位置。 要解决这个问题,你可以尝试以下几个步骤: 1. 检查清单文件中的 JSON 格式是否正确,确保没有语法错误或缺失的标记。 2. 验证特性包是否完整且没有损坏。可以尝试重新下载或替换特性包文件。 3. 如果你自己创建了特性包,确保清单文件与实际文件结构一致,并且符合 Unreal Engine 的要求。 4. 确保使用的 Unreal Engine 版本与特性包兼容。有些特性包可能需要特定版本的引擎才能正常解析和使用。 如果问题仍然存在,可以尝试在 Unreal Engine 的官方支持论坛或开发者社区中寻求帮助,提供更详细的错误信息和背景信息,以便其他开发者能够更好地帮助你解决问题。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值