UPack PE头文件分析

最新推荐文章于 2022-04-08 19:53:19 发布
最新推荐文章于 2022-04-08 19:53:19 发布
阅读量186 收藏
点赞数
分类专栏: 逆向工程核心原理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wk19951125/article/details/104294224
版权
本文使用Stud_PE工具对比分析了原始与UPack打包后的PE文件头,探讨了UPack如何篡改SizeOfOptionalHeader、NumberOfRvaAndSizes等关键字段,并详细解释了UPack如何通过重叠节区实现代码注入。此外,还讨论了RVA到RAW的转换以及导入表的结构和处理方式。
摘要由CSDN通过智能技术生成

UPack PE头文件分析

Stud_PE

查看UPack后的文件:
在这里插入图片描述

比较PE头文件

原始的PE文件头

在这里插入图片描述

UPack后的PE文件头

在这里插入图片描述

分析UPack的PE文件头

重叠文件头

在这里插入图片描述
在MZ文件头中,除了e_magic和e_lfanew以外,其他参数对于程序运行而言都不重要。

IMAGE_FILE_HEADER.SizeOfOptionalHeader

  • IMAGE_FILE_HEADER.SizeOfOptionalHeader表示IMAGE_OPTIONAL_HEADER结构体的长度(E0),修改该值可以向文件头插入解码代码。
  • UPack将其改为148
    在这里插入图片描述
    在这里插入图片描述
  • IMAGE_FILE_HEADER.SizeOfOptionalHeader另一层的含义为确定节区头的起始偏移
    • IMAGE_SECTION_HEADER的位置=IMAGE_OPTIONAL_HEADER的起始偏移地址+SizeOfOptionalHeader
    • UPack向其中插入了代码(28+148=170)
      在这里插入图片描述

IMAGE_OPTIONAL_HEADER.NumberOfRvaAndSizes

  • NumberOfRvaAndSizes:用来指出紧接在后面的IMAGE_DATA_DIRECTORY结构体数组的元素个数
    • 正常文件中IMAGE_DATA_DIRECTORY的个数为10,UPack改为了A
    • 所以后6个元素会被忽略,进而在这块复写了自己的代码

重叠节区

在这里插入图片描述

  • 实际上源文件压缩于第二节区
  • 第一节区内存尺寸为14000,与原文件的SizeOfImage相同,所以第二节区的文件映像会被原样解压到第一节区。
  • 原notepad.exe有3个节区,但会被解压到一个节区。

RVA to RAW

在这里插入图片描述
按照计算:
RAW=1018-1000+10=28
在这里插入图片描述
但其实由于PointerToRawData值应该是FileAlignment(200)的整倍数,所以会变成0:
RAW=1018-1000+0=18
在这里插入图片描述

导入表

在这里插入图片描述
RVA---->RAW:
271EE-27000+0=1EE
在这里插入图片描述

  • 根据规范,导入表由一系列IMAGE_IMPORT_DESCRIPTOR结构体组成,最后由一个内容为NULL的结构体结束
  • 但其后并不是第二个结构体,也非NULL,因为黄线以上才会被映射到内存区域,剩下部分全部填充NULL,所以也到了规范的要求
参考文献

《逆向工程核心原理》

你的名字5686
关注
专栏目录
UPack 压缩PE头文件分析(特点总结)
m0_62690279的博客
04-15 1159
文章目录UPack 头文件分析(特点总结)概述压缩方法PE文件部分的特征表现特征具体改变重叠文件具体修改文件(IMAGE_FILE_HEADER)中可选(IMAGE_OPTIONAL_HEADER)的长度(E0)原理(创造空间,插入代码)原因查看插入的代码修改可选中的NumberOfRvaAndSizeNumberOfRvaAndSize具体修改IMAGE_SECTION_HEADER的空间利用重叠节区RVA to RAW的特征IMAGE_IMPORT_DESCRIPTOR array(导入表)的
UPack PE文件分析
learn112的博客
12-31 510
UPack PE文件分析 UPack UPack 是一个运行时压缩器,它会将PE文件打乱,使正常PE文件变形,从而让分析者摸不清脑,另外,经过UPack压缩的PE文件会小很多 经过UPack压缩的PE文件 打开经过UPack压缩的PE文件,我们可以看到文件结构与普通PE文件大不一样(包括文件文件节区),如下图: DOS有,但是只有一个签名5A4D(MZ) DOS存根没有了 看到00004550(PE)说明NT有,但是这个NT距离DOS也太近了。。。 NT的签名后面接着就是文件(20个字节
UPack PE文件详细分析
qq_39249347的博客
08-19 572
UPack是一款PE文件的运行时压缩器,其特点是用一种非常独特的方式对PE进行变形,UPack会引起诸多现有的PE分析程序错误。 许多恶意代码使用UPack压缩字节的恶意代码并发布,由于这样的恶意代码非常多,现在大部分杀毒软件干脆将所有UPack压缩的文件全部识别为恶意文件并删除。 使用UPack压缩notepad.exe 将upack.exe与notepad.exe放到同一个文件夹下,输入如下命令: C:\Users\12586\Downloads\example\02\18\bin>Up.
Upack0.31 脱壳小试,附详细过程
sandikast的专栏
01-14 3422
一、Upack的加壳 Upack作为一种保护壳,独特的PE格式混淆与压缩是很让人惊叹的,很多PE分析器与自动脱壳软件脚本都被干掉了,dwing大神对PE装载器的理解之深入让人不得不佩服得五体投地。 作为测试,先用一个自己写的C#小程序作为加壳对象进行加壳: PEiD检测结果如下: 用百度到的第一个Upack0.31版本对原程序加壳,加壳后的程序PEID检测如下:
《逆向工程核心原理》学习笔记7 UPack加壳
EloflyS的博客
03-01 1294
《逆向工程核心原理》学习笔记7 UPack加壳 (好久没更了orz) UPack是一款用于给软件加壳的程序,通过对PE的变形和压缩,达到不让别人识别文件作用的功能。因此骇客经常使用这种加壳程序对他们所编写的病毒进行包装。有些杀毒软件会不加分辨的直接把所有用UPack压缩的文件全部识别为病毒。(本身这个软件没有恶意) 首先要下载UPack,下载链接在这 https://download.csdn....
UPack PE文件分析与调试
Tokameine的博客
03-06 360
参考文章:https://blog.csdn.net/learn112/article/details/112029389 您可以将本篇文章当作该参考文章的拓展版、翻译版、压缩版,总之算是结合之后自己上手的过程记录。若您发现文章中出现错误,请务必指正。 范例:notepad_upack.exe 准备工具:010Editor、Stud_PE UPack:个人对其理解为一种压缩方法。将文件经过一定的算法编码压缩,在启动被压缩文件时将会按照逆过程解码。而其中比...
Stud_PE PE分析工具
01-30
而Stud_PE,作为一款专业的PE分析工具,相较于其他同类工具如PEview,其功能更为全面,尤其在处理UPack壳的PE分析方面表现出色。 Stud_PE的核心优势在于其深度解析能力。它不仅能够提供标准的PE文件信息,如节区...
UPackPE文件分析与OEP查找
Mi1k7ea
06-11 1602
UPack(Ultimate PE压缩器),是一种PE文件的运行时压缩器,特点是使用独特的方法对PE进行变形。UPack会使许多的PE分析程序无法正常运行,因此很多恶意代码都是通过UPack进行压缩。   UPack PE文件分析 使用UPack压缩notepad.exe: UPack会直接压缩源文件而不会进行备份。压缩后的notepad文件更名为notepad_upack。 使...
《逆向工程核心原理》第18章----分析Upack
qq_55785697的博客
04-08 307
UpackPE形式乍一看和规范相去甚远,实际上每一处都是精心设计的,在混淆人工分析的同时完美符合PE规范。主要是采取了以下多种手段。 一、重叠PE文件 MZ文件中对程序运行有用的只有标志位和偏移03C处NT映像的起始位置,其余地方都是无影响可随意填充其他内容;依此可将NT映像与MZ文件重叠。 二、修改结构长度扩充空余空间 1.在IMAGE_FILE_HEADER结构中,SizeofOptionHeader这个参数代表可选的大小,由于在PE32中大小是固定的E0,所以当参数大小超过E0时
从可执行文件中删除.reloc节区
wk19951125的博客
02-13 840
从可执行文件中删除.reloc节区.reloc节区reloc.exe删除.reloc节区删除.reloc节区修改IMAGE_FILE_HEADER修改IMAGE_OPTIONAL_HEADER参考文献 .reloc节区 EXE形式的PE文件中“.reloc”项对运行没什么影响 对DLL和SYS而言“.reloc”项则是必须的 .reloc一般位于所有节区的最后 reloc.exe 删除.re...
abex' crackme #2
wk19951125的博客
02-08 475
abex' crackme #2运行abex' crackme #2VB文件的特征调试 运行abex’ crackme #2 VB文件的特征 VB文件可以编译为本地代码(N code)以及伪代码(P code),本地代码一般使用IA-32指令,伪代码是一种解释器语言,由VB引擎实现虚拟机并可自解析. VB程序采用Windows操作系统的事件驱动方式工作,所以在main()或WinMain()中...
IA-32寄存器基础
wk19951125的博客
02-04 466
IA-32寄存器基础CPU寄存器基本程序运行寄存器通用寄存器段寄存器指令状态与控制寄存器指令指针寄存器参考文献 CPU寄存器 寄存器:是CPU内部用来存放数据的小型存储区域 基本程序运行寄存器 通用寄存器 通用寄存器均为32位(4字节),共8个: EAX:(针对操作数和结果数据)累加器,所以Win32 API都会将结果返回值存储在EAX EBX:(DS段中的数据指针)基址存储器 ECX:(字符串...
关于逆向工程
wk19951125的博客
02-01 329
关于逆向工程逆向工程代码逆向工程逆向分析的方法静态分析动态分析源代码、十六进制代码、汇编代码“打补丁”与“破解”参考文献 逆向工程 逆向工程(RE):一般指通过分析物体、设备或系统了解其结构、功能以及行为等,掌握其中的原理并改善不足之处。 代码逆向工程 代码逆向工程(RCE):是逆向工程在软件领域的应用。 逆向分析的方法 静态分析 静态分析是在不执行代码的情况下对代码进行分析,包括:文件类型、大小...
分析abex' creakme #1
wk19951125的博客
02-06 323
分析abex' creakme #1abex' crackme #1Crack过程调试代码分析破解参数入栈参考文献 abex’ crackme #1 abex‘ crackme程序是由汇编语言直接编写,程序的运行效果如下: 点击确定后: Crack过程 调试 通过OD加载程序,可以发现程序很短,逻辑也很清晰,就是做了一个简单的判断然后根据判断的结果进行不同的跳转。 代码分析 破解 直接让函...
DLL卸载
wk19951125的博客
02-19 306
DLL卸载DLL卸载的工作原理实现DLL卸载 DLL卸载的工作原理 主要来说与DLL注入类似,DLL注入是驱使目标进程调用LoadLibrary() API,DLL卸载则是驱动目标进程调用FreeLibrary() API: 将FreeLibrary() API的地址传递给CreatRemoteThread()的lpStartAddress参数 将要卸载的DLL的句柄传递给lpParameter...
DLL注入
wk19951125的博客
02-17 291
DLL注入DLL注入DLL注入的作用DLL注入的实现方法CreatRemoteThread()流程 DLL注入 DLL注入:向运行中的其他进程强制插入特定的DLL文件。 DLL被加载到进程后会自动运行DllMain()函数。 BOOL WINAPI DllMain(HINSTANCE hinstDLL, DWORD dwReason, LPVOID lpvReserved){ switch(dw...
运行时压缩
wk19951125的博客
02-12 285
运行时压缩数据压缩无损压缩有损压缩运行时压缩器压缩器保护器运行时压缩测试调试notepad.exe的EP代码notepad_upx.exe的EP代码参考文献 数据压缩 无损压缩 无损压缩:经过压缩的文件能100%恢复 有损压缩 有损压缩:经过压缩的文件不能恢复原状,压缩多媒体文件时大部分使用有损压缩 运行时压缩器 运行时压缩器:针对可执行文件而言,可执行文件内部含有解压缩代码,文件在运行瞬间于内存...
PE文件格式
wk19951125的博客
02-11 248
PE文件格式介绍PE文件格式 介绍 PE文件:Windows操作系统下使用的可执行文件PE文件是指32位的可执行文件,也称PE32,64位可执行文件称为PE+或PE32+。 PE文件格式 PE文件种类: 种类 主要扩展名 可执行系列 EXE、SCR 库系列 DLL、OCX、CPL、DRV 驱动程序系列 SYS、VXD 对象文件系列 OBJ ...
Windows消息钩取
wk19951125的博客
02-15 200
Windows消息钩取消息钩子SetWindowsHookEx()示例代码参考文献 消息钩子 消息钩子:钩取OS发送给应用程序的消息。 以键盘消息为例,常规的Windows消息流: 发生键盘输入事件时,WM_KEYDOWN消息将被添加到[OS message queue] OS判断发生事件的应用程序,从[OS message queue]取出消息,添加到相应应用程序的[application m...
Python库upack-0.0.2:官方资源打包及安装方法
资源摘要信息: "upack-0.0.2.tar.gz是一个Python库,它是由官方提供的。这个库的全名是upack-0.0.2.tar.gz,属于Python语言的范畴。关于这个库的具体介绍,可以在提供的描述和链接中找到详细的说明。" 知识点一:...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值