upx3.05手脱笔记

本来一直对upx3.0以后加密壳挺畏惧的,其逻辑看起来挺简单的,有想逆一把的想法,但是都没实施,今天又遇到了,没法,太急,去google了一下,找到几篇资料
但是年代都挺久远的,看到[1]中直接esp定律就脱了,有点不信,就试了试,靠,居然可以,只能表示,实践是检验真理的唯一标准。

#1. 查壳
[!] UPX 3.05 compressed !
查出来是3.05,也不知道是不是误报,比[1]中版本高了点,所以也就是尝试尝试esp定律拖一下

#2. 脱壳
OD加载(是个dll,通过load.exe加载),在DllMain断下,看到熟悉的pushad,感觉方法可能靠谱了

1
2
3
4
103432E0 >  807C24 08 01    cmp byte ptr ss:[esp+0x8],0x1
103432E5    0F85 9D0B0000   jnz xxx.10343E88
103432EB    60              pushad
103432EC    BE 00C02C10     mov esi,xxx.102CC000

f8到103432EC ,在数据窗口显示esp值,然后右键下了个硬件访问断点(其实以前尝试过,但是下的是内存访问断点,失败了,也不知道是不是这个原因,待会儿试试)。接着F9,断在了下面的代码中,看不出啥,就有个 jmp xxx.100C3C71,地址离当前地址还算较远,可能是另一个节
1
2
3
4
5
6
10343E7B    8D4424 80       lea eax,dword ptr ss:[esp-0x80] //这个就是先前pushad压入的吗??
10343E7F    6A 00           push 0x0
10343E81    39C4            cmp esp,eax
10343E83  ^ 75 FA           jnz short xxx.10343E7F //循环了多次,F4直接到10343E85  ,应该是在清理堆栈吧??  
10343E85    83EC 80         sub esp,-0x80
10343E88  - E9 E4FDD7FF     jmp xxx.100C3C71

1
2
100C3C71   /E9 CA371100     jmp xxx.101D7440
100C3C76   |E9 15311700     jmp xxx.10236D90                           ; jmp 到 kernel32.UnlockFile

单步到jmp,F8跟到其代码中,看到了熟悉的一段入口代码:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
101D7440    8BFF            mov edi,edi
101D7442    55              push ebp
101D7443    8BEC            mov ebp,esp
101D7445    837D 0C 01      cmp dword ptr ss:[ebp+0xC],0x1
101D7449    75 05           jnz short xxx.101D7450
101D744B    E8 32DFEEFF     call xxx.100C5382
101D7450    8B45 10         mov eax,dword ptr ss:[ebp+0x10]
101D7453    50              push eax
101D7454    8B4D 0C         mov ecx,dword ptr ss:[ebp+0xC]
101D7457    51              push ecx
101D7458    8B55 08         mov edx,dword ptr ss:[ebp+0x8]
101D745B    52              push edx
101D745C    E8 1F000000     call xxx.101D7480
101D7461    83C4 0C         add esp,0xC
101D7464    5D              pop ebp
101D7465    C2 0C00         retn 0xC

通过堆栈参数,进一步确认了下,这是DllMain函数
1
2
3
4
0006F880   7C92118A  返回到 ntdll.7C92118A
0006F884   10000000  xxx.10000000
0006F888   00000001
0006F88C   00000000

然后在101D7440地址,尝试dump,成功之后在检测壳信息
[CompilerDetect] -> Visual C++ 9.0 (Visual Studio 2008)
应该是脱壳成功了,但是iat没有修复,先ida看看是否需要修复

#3. 修复
如果需要修复,使用importRec工具
img
找到进程,选择目标dll,然后填入OEP,修复即可

#4. 参考

[1]: http://bbs.pediy.com/showthread.php?t=44125 【原创】手脱 UPX3.0
[2]: http://bbs.pediy.com/showthread.php?t=140312 【原创】UPX3.03脱壳机-学习版[代码更新]

谢谢你请我吃糖果

微信

扫一扫,分享到微信

微信分享二维码

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

Windows Kernel/Rootkit/Reverse Engineer/Expolit
内核研究/逆向分析/漏洞分析挖掘