本文使用Stud_PE工具对比分析了原始与UPack打包后的PE文件头,探讨了UPack如何篡改SizeOfOptionalHeader、NumberOfRvaAndSizes等关键字段,并详细解释了UPack如何通过重叠节区实现代码注入。此外,还讨论了RVA到RAW的转换以及导入表的结构和处理方式。
UPack PE头文件分析
Stud_PE
查看UPack后的文件:
比较PE头文件
原始的PE文件头
UPack后的PE文件头
分析UPack的PE文件头
重叠文件头
在MZ文件头中,除了e_magic和e_lfanew以外,其他参数对于程序运行而言都不重要。
IMAGE_FILE_HEADER.SizeOfOptionalHeader
- IMAGE_FILE_HEADER.SizeOfOptionalHeader表示IMAGE_OPTIONAL_HEADER结构体的长度(E0),修改该值可以向文件头插入解码代码。
- UPack将其改为148
- IMAGE_FILE_HEADER.SizeOfOptionalHeader另一层的含义为确定节区头的起始偏移
- IMAGE_SECTION_HEADER的位置=IMAGE_OPTIONAL_HEADER的起始偏移地址+SizeOfOptionalHeader
- UPack向其中插入了代码(28+148=170)
IMAGE_OPTIONAL_HEADER.NumberOfRvaAndSizes
- NumberOfRvaAndSizes:用来指出紧接在后面的IMAGE_DATA_DIRECTORY结构体数组的元素个数
- 正常文件中IMAGE_DATA_DIRECTORY的个数为10,UPack改为了A
- 所以后6个元素会被忽略,进而在这块复写了自己的代码
重叠节区
- 实际上源文件压缩于第二节区
- 第一节区内存尺寸为14000,与原文件的SizeOfImage相同,所以第二节区的文件映像会被原样解压到第一节区。
- 原notepad.exe有3个节区,但会被解压到一个节区。
RVA to RAW
按照计算:
RAW=1018-1000+10=28
但其实由于PointerToRawData值应该是FileAlignment(200)的整倍数,所以会变成0:
RAW=1018-1000+0=18
导入表
RVA---->RAW:
271EE-27000+0=1EE
- 根据规范,导入表由一系列IMAGE_IMPORT_DESCRIPTOR结构体组成,最后由一个内容为NULL的结构体结束
- 但其后并不是第二个结构体,也非NULL,因为黄线以上才会被映射到内存区域,剩下部分全部填充NULL,所以也到了规范的要求
参考文献
《逆向工程核心原理》
扫一扫
1133
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
