调试UPX压缩的notepad

最新推荐文章于 2023-09-28 15:30:06 发布
最新推荐文章于 2023-09-28 15:30:06 发布
阅读量189 收藏
点赞数
文章标签: c/c++
原文链接:http://www.cnblogs.com/dliv3/p/6119505.html
版权

@date: 2016/11/29

@author: dlive

0x01 运行时压缩

对比upx压缩前后的notepad可以看到如下特点

  1. PE头的大小一样
  2. 节区名称改变(.text -> .UPX0, .data -> .UPX1)
  3. 第一个节区的SizeOfRawData=0,即第一个节区在磁盘上的大小为0,但是第一个节区的VirtualSize的值被设置为0x10000
  4. notepad_upx.exe的EP位于第二个节区,原notepad.exe的EP在第一个节区
  5. 资源节区(.rsrc)的大小几乎无变化

解压缩代码与压缩的源代码都在第二个节区(UPX1)。文件运行时首先执行解压缩代码,把处于压缩状态的源代码解压到第一个节区(UPX0)。解压结束后即运行源文件的EP代码。

0x02 调试UPX压缩的notepad

EP与OEP:

EP(Enter Point): Windows可执行文件的代码入口点,是执行应用程序时最先执行的代码的其实位置

OEP(Original Enter Point): 对于加壳程序,称源文件的EP为OEP

使用OD打开未加壳的notepad.exe

903673-20161130201507881-1447996806.png

可以看到notepad.exe的EP为0100739D,入口处代码调用了GetModuleHandleA用来获取notepad的ImageBase

下面开始调试notepad_upx.exe,upx的解壳过程可以分为以下几个阶段:

1. 壳入口的初始化操作

用OD打开notepad_upx.exe,程序停在EP处

903673-20161130201516537-263505501.png

复习一下前面PE的知识XD : 可以验证EP地址为01015330 == Address of Entry Point + Image Base (IMAGE_OPTIONAL_HEADER32)

903673-20161130201521912-2057221912.png

notepad_upx.exe在入口点进行了pushad操作(依次将EAX、ECX、EDX、EBX、ESI、EDI压栈)

然后将UPX0,UPX1节区的地址分别保存在EDI,ESI寄存器中。调试时这样同时设置EDI,ESI,就能预见从ESI所指缓冲区到EDI所指缓冲区的内存发生了复制,此时从Source(ESI)读取数据,解压缩后保存到Destination(EDI)。

之后代码通过jmp调到解压缩代码。

我们的目标是跟踪全部UPX EP代码,并最终找到原notepad的EP代码,如第一张图所示

2. 代码还原

在UPX解压缩的过程中一共有4个循环。

前里两个循环完成代码还原的功能,正式的解码循环为第二个循环。

跟踪数量庞大的代码时,请遵循如下法则:遇到循环时,先了解作用再跳出

在OD中Ctrl+F8调试第二个解码循环,同时在memory窗口观察UPX0节区的数据变化(也可以在OD CPU窗口左下方的数据窗口查看UPX0内数据变化),可以看到第二个循环将解码后的数据写入UPX0节区。

903673-20161130201530959-292389327.png

903673-20161130201536271-1719617604.png

3. CALL/JMP修复

第三个循环从0101540A开始,主要用于恢复源代码的CALL/JMP指令(Opcode:E8/E9)的destination地址。

可以在memory窗口中选中UPX0区段,右键设置内存写入断点来判断第三个循环确实有对UPX0进行修改。

4. 恢复IAT

UPX压缩原notepad.exe事,会分析其IAT,提取出程序中调用的API名称列表,形成API名称字符串。

用这些API名称字符串调用GetProcAddress函数,获取API的地址。然后把API地址输入原notepad.exe的IAT区域。

最终恢复原notepad.exe的IAT

5. 将程序的控制返回到程序OEP

在notepad.exe全部解压缩完成后,将程序的控制返回到OEP处。

903673-20161130201544849-1709379842.png

010154AD地址处的popad指令与notepad_upx.exe的第一条指令pushad对应,用来把寄存器状态恢复。

最终使用010154BB处的jmp指令跳转到OEP,跳转的目标地址(0100739D)就是notepad.exe的EP

903673-20161130201601959-2078846979.png

可以看到OEP处的代码和源notepad.exe相同

虽然没有详细看懂upx的每条指令的含义,但是对其代码片段的功能有了基本了解

UPX详细分析可参考:

http://www.52pojie.cn/thread-294773-1-1.html

http://www.chinapyg.com/thread-76768-1-1.html

0x03 快速查找UPX OEP&UPX脱壳

1.快速查找OEP

这里用到了OD的硬件断点,关于硬件断点可以参考:

https://www.zhihu.com/question/52625624/answer/131557817

notepad_upx.exe的EP先执行了pushad,在解压完成后又使用popad恢复程序初始运行时的寄存器和堆栈状态。

我们现在知道UPX在解压完成后一定会执行popad(依次pop edi, esi, ebx, edx,ecx, eax),那么就可以在栈地址上设置硬件断点,在程序访问这个地址的数据时就会被断下。

在数据窗口找到执行完pushad后在esp对应地址,然后选择该地址开始的1字节,右键设置硬件断点(或者按书p133那样设置硬件断点均可)。

903673-20161130201611662-1218104918.png

当程序执行popad时会首先从这个地址上读取数据到edi(pop edi),此时会触发硬件断点,程序断下。其下方即是跳转到OEP的JMP指令。

903673-20161130201619162-1656433607.png

不过和软件断点(INT 3)断点不同的是,触发断点的指令执行(popad)完成后程序才会停止运行,即程序会断在popad下一条指令。

OD的硬件断点可以在调试->硬件断点里看到。

903673-20161130201624990-55546465.png

2.UPX脱壳

继续运行程序到OEP,然后再OD中右键选择Dump debugged process(52pojie OD中为“用Ollydump脱壳调试进程”)

修改EP为OEP(该功能会自动修改EP为EIP,此时EIP即为OEP,所以无需手动修改),点击脱壳,另存脚本为notepad_dump.exe

903673-20161130201630224-703337156.png

对UPX脱壳而言,进行到这一步就可以了,但是如果是另外一些壳,可能还需要对程序的输入表进行修复操作。

脱壳后的程序可以正常运行,并且使用IDA可以正常反编译。

使用PEID查壳可以看到提示“Microsoft Visual C++ 6.0”信息,而非UPX

903673-20161130201636287-1134922620.png

3.修复IAT

(为什么要修复IAT,IAT是什么原因被破坏这个我还不是很清楚,不过先有个大致概念,以后再深入研究)

打开ImportREC程序,首先在进程列表中选择正在用OD调试的那个notepad_upx.exe进程,然后在OEP中填入739D,然后点击“IAT AutoSearch”按钮,接着点击“GetImports”按钮,就可以看到程序的输入表信息了。

903673-20161130201641693-944290283.png

点击右侧的“Show Invalid”按钮,看看是否存在无效的输入表项目。无效的输入表项目前面带有问号(?),如果有可以使用右键菜单删除。这里没有无效的输入表项目,所以选择“Fix Dump”按钮,对我们的notepad_dump.exe进行修复,得到notepad_dumped_.exe程序。

至此脱壳完成。

转载于:https://www.cnblogs.com/dliv3/p/6119505.html

weixin_30347009
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
notepad_upx.exe 学习程序和upx,NOTEPAD.exe
08-27
《逆向工程核心原理》一书中使用的程序notepad_upx.exe ,包括NOTEPAD.EXE ,UPX程序
使用notepad++的nppexec插件格式化json和压缩json内容
Janbar
11-01 1160
1.遇到问题 因为平时需要查看json内容,有时候修改后需要压缩json,虽然已经有网页可以实现,但每次打开网页也很麻烦啊。虽然notpad++也有NPPJSONViewer这个插件,但是目前只有格式化json的功能,没有压缩json的功能。这就比较蛋疼咯。 2.解决方案 set compact=c text_saveto D:\tmp.json cmd /C "jq -r$(compact) ...
《逆向核心原理》第十五章----调试notepad_upx.exe
qq_55785697的博客
04-05 515
零、前情提要 我们常见的压缩比如zip、7z、rar等都是通过合适的压缩算法将大东西变成小东西,就像挤出海绵里的水、压出杯子里的空气或者榨出论文里的水一样;而今天提到的upx称之为运行时压缩,仅针对可执行文件,压缩后仍为可执行文件,其中包含解码程序和源代码。 一、比较upx加壳前后的pe结构 用peview打开两个exe,加壳前的notepad.exe其中包含text、data、src节,加壳后text和data节消失,取而代之的是upx0和upx1。 可以发现notepad_upx.exe中,
upx解压出现 p_info corrupted错误解决办法
lirunling的博客
11-11 1044
今天捕获到一个挖矿木马work32,在分析过程中,查壳发现加壳为upx3.93 使用upx脱壳工具脱壳过程中,会提示以下错误 p_info corrupted为p_info损坏,百度了一圈说是病毒制作者使用的一种防范手段,不让轻易脱壳 下面为解决这个问题的方法 使用winhex十六进制查看工具查看这个加壳的样本,发现upx文件头的p_info位置的12个字节部分被0填充,这也是我们无法解压的原因 现在要恢复p_info的值,而p_info和p_filesize包含相同的值,p_fil.
nuitka3打包提示: FATAL: upx: Error
坐公交也用券
10-10 454
Upx压缩程序没有执行权限。
易语言UPX压缩
07-22
易语言UPX压缩源码,UPX压缩
UPX 压缩加密 EXE文件
10-09
UPX 用于压缩 加密 EXE文件
UPX 压缩图形工具(2023-02-14)
02-14
UPX 压缩图形工具(2023-02-14) 只需要两步即可实现exe文件的压缩(1:选择文件;2:执行压缩),选择文件也可以直接拖动文件到窗体即可! 1. UPX (the Ultimate Packer for eXecutables)是一款先进的可执行程序...
upx压缩工具
11-28
upx.exe拷贝到Windows/System32下,可用upx命令压缩exe文件
《逆向工程核心原理》第14.15章——运行时压缩调试UPX压缩notepad.ex程序
diamond_biu的博客
12-14 523
运行时压缩数据压缩运行时压缩压缩器保护器运行时压缩测试——notepad.exe为例比较notepad.exe与notepad_upx.exe文件调试UPX压缩notepad.exe程序notepad.exe的EP代码 数据压缩 无损压缩(Lossless Data Compression):压缩的文件能够100%恢复。如Run-Length、Lempel-Ziv、Huffman。 有损压缩(Loss Data Compression):压缩的文件不能恢复原状,会损失一定信息,常用于多媒体文件。 运
notepad.upx
05-31
notepad.upx
逆向工程——调试upx压缩notepad程序
周星星的博客
10-27 1196
一. 比较notepad.exe与notepad_upx.exe的EP代码 notepad.exe: 程序的EOP在0100739D处,在010073B2处调用函数getModuleHandleA()API,获取notepad.exe的Imagebase。然后在010073B4和010073C0处比较MZ和PE签名,这部分的EP代码很重要,后面分析notepad_upx.exe时会进行比较,也方便找到真正的程序的OEP。 notepad_upx.exe: 在地址01015330处是压缩之后的第二节部分,
运行时压缩UPX
Mi1k7ea
06-07 3786
任何文件都是由二进制组成的,因而只要使用合适的压缩算法,就可以是文件大小进行压缩。无损压缩:经过压缩的文件能完全恢复。如7-zip、面包房等压缩程序。有损压缩:经过压缩的文件不能完全恢复。压缩多媒体文件时大部分使用有损压缩。运行时压缩器:运行时压缩器(Run-Time Packer)是针对可执行文件而言的,可执行文件内部含有解压缩代码,文件在运行瞬间在内存中解压缩后执行。运行时压缩文件也是PE文件...
一道题展开的UPX脱壳问题
m0_73393932的博客
04-03 641
逆向
x-cmd pkg | upx - 一个开源的可执行文件压缩工具
最新发布
edwinjhlee的博客
09-28 1075
UPX(全称: Ultimate Packer for eXecutables),是一个开源的可执行文件压缩工具。它的主要目的是将可执行文件和共享库(通常是二进制文件)压缩为更小的尺寸,从而减少磁盘占用空间和下载时间。UPX 采用无损压缩技术,可以在不影响可执行文件的功能的情况下(压缩后的文件仍可直接执行)减小文件的大小。它通常用于减小应用程序、二进制文件或脚本的大小,特别是在需要分发或传输这些文件时,以减少带宽和存储成本。
python将代码打包成exe文件,同时使用UPX工具对exe文件进行压缩
m0_73362240的博客
04-12 1440
本来只是写了个小程序想要打包成exe文件发给朋友玩的,但是在使用pyinstaller打包之后发现exe文件内存偏大,于是在网络上进行了搜索,最后对导入模块部分进行了精简,并使用UPX工具对exe文件进行压缩解决了问题。
[脱壳]手脱UPX
輚至消亡
07-24 1261
0x00 简介 UPX壳是一种压缩器。经其加壳后的程序的PE结构如下: 其特点是加壳后除了资源的节,其他节区都不见了,转换成了UPX0和UPX1两个节区。并且UPX0节的磁盘文件大小变成了0。 实际上,UPX压缩器将这些节区压缩后放置于UPX1中,并且将压缩和解压代码也放到里面去。一旦该程序被加载运行,位于UPX1节的解压缩代码会释放原数据到UPX0中并且让PE正常运行。 0X01 硬...
压缩加壳工具UPX编译及使用实例
D_Flash的博客
08-24 7752
压缩加壳工具UPX编译及使用实例
HZNUCTF REVERSE Signin题解——upx壳区段改名修复,动态调试脱壳
OrientalGlass的博客
04-02 1046
这个程序需要下两次硬件断点才能找到oep,老的upx加壳程序上来就可以找到pushad指令,但是这个程序刚运行时没有pushad指令,所以需要先找到pushad所在位置。按f9运行,可以发现程序停在了816f处,这里有popad,栈平衡以及jmp指令(跳转到153f处,很显然是大跳转,应该是跳转到oep)如果直接用upx脱壳会失败,后来才知道这是upx壳改了upx区段名,其实exeinfope这里也找到了upx的特征,已经有过提示。按f8,然后按照上面的操作,再给esp指向的内存单元下一个硬件访问断点。
python pyinstaller upx压缩
09-08
Python PyInstaller是将Python代码转换为独立可执行文件的工具,而UPX是一种用于压缩和解压缩可执行文件的工具。使用PyInstaller时,我们可以选择是否使用UPX进行压缩。 使用UPX压缩在一定程度上可以减小可执行文件...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值