UPack PE文件分析

最新推荐文章于 2021-03-06 22:20:09 发布
原创 最新推荐文章于 2021-03-06 22:20:09 发布 · 591 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全

本文详细分析了经过UPack压缩的PE文件的结构变化,包括DOS头、NT头、可选头、节区头的异常特征。UPack通过扩大可选头并利用其空间存放解码代码,同时修改节区布局,使得原始PE文件在内存中解压缩后恢复正常。导入表和IAT的处理方式也体现了UPack的巧妙之处,确保了文件格式的合规性。

UPack PE文件分析

UPack

UPack 是一个运行时压缩器,它会将PE文件打乱,使正常PE文件变形,从而让分析者摸不清头脑,另外,经过UPack压缩的PE文件会小很多

经过UPack压缩的PE文件

打开经过UPack压缩的PE文件,我们可以看到文件结构与普通PE文件大不一样(包括文件头,文件节区),如下图:

在这里插入图片描述

DOS头有,但是只有一个签名5A4D(MZ)

DOS存根没有了

看到00004550(PE)说明NT头有,但是这个NT头距离DOS头也太近了。。。

NT头的签名后面接着就是文件头(20个字节,offset:14~27)

文件头后面就是可选头,从文件头倒数第二个4字节,我们得到可选头的大小:0x148

如下图白色部分(未全部展示)即为可选头:

在这里插入图片描述

可选头在这里与普通PE文件的可选头也是不同的,普通PE可选头一般大小为E0,这里为148,为什么经过UPack压缩后的PE文件可选头会大一点?

主要是为UPack中使用的解码代码腾出空间,具体在哪个位置?

我们先来看看可选头中DATA DIRECTORY数组,找到该成员的上一个成员,如下图:

最低0.47元/天 解锁文章
手动脱WinUpack 壳实战
07-15
手动脱WinUpack 壳实战的分析文档和脱壳后程序,这个脱壳程序是吾爱破解练习第6题,比较简单。
UPack 压缩PE文件分析(特点总结)
m0_62690279的博客
04-15 1355
文章目录UPack文件分析(特点总结)概述压缩方法PE文件头部分的特征表现特征具体改变重叠文件头具体修改文件头(IMAGE_FILE_HEADER)中可选头(IMAGE_OPTIONAL_HEADER)的长度(E0)原理(创造空间,插入代码)原因查看插入的代码修改可选头中的NumberOfRvaAndSizeNumberOfRvaAndSize具体修改IMAGE_SECTION_HEADER的空间利用重叠节区RVA to RAW的特征IMAGE_IMPORT_DESCRIPTOR array(导入表)的
UPack PE文件头详细分析
qq_39249347的博客
08-19 796
UPack是一款PE文件的运行时压缩器,其特点是用一种非常独特的方式对PE头进行变形,UPack会引起诸多现有的PE分析程序错误。 许多恶意代码使用UPack压缩字节的恶意代码并发布,由于这样的恶意代码非常多,现在大部分杀毒软件干脆将所有UPack压缩的文件全部识别为恶意文件并删除。 使用UPack压缩notepad.exe 将upack.exe与notepad.exe放到同一个文件夹下,输入如下命令: C:\Users\12586\Downloads\example\02\18\bin>Up.
UPack PE文件分析
wk19951125的博客
02-13 268
UPack PE文件分析Stud_PE比较PE文件原始的PE文件UPack后的PE文件分析UPackPE文件头重叠文件头IMAGE_FILE_HEADER.SizeOfOptionalHeaderIMAGE_OPTIONAL_HEADER.NumberOfRvaAndSizes重叠节区RVA to RAW导入表参考文献 Stud_PE 查看UPack后的文件: 比较PE文件 原始的P...
UPack PE文件分析与调试
Tokameine的博客
03-06 445
参考文章:https://blog.youkuaiyun.com/learn112/article/details/112029389 您可以将本篇文章当作该参考文章的拓展版、翻译版、压缩版,总之算是结合之后自己上手的过程记录。若您发现文章中出现错误,请务必指正。 范例:notepad_upack.exe 准备工具:010Editor、Stud_PE UPack:个人对其理解为一种压缩方法。将文件经过一定的算法编码压缩,在启动被压缩文件时将会按照逆过程解码。而其中比...
UPack调试
qq_39249347的博客
08-19 419
Ollydbg运行错误 由于Upack会将IMAGE_OPTIONAL_HEADER中的NumberOfRvaAndSizes值设置为A,所以使用OllyDbg打开notepad_upack.exe文件时,初始检查过程中会弹出错误消息对话框: 按确认按钮关闭对话框,上面这个错误导致OllyDbg无法转到EP位置,停留在ntdll.dl区域: 该现象是由OllyDbg的Bug引起的,所以需要强制设置EP,首先要查找EP位于何处,下面使用Stud_PE查找EP的虚拟地址。 ImageBase为010.
《逆向工程核心原理》第18.19章——UPack PE文件头详细描述、UPack调试——查找EOP
diamond_biu的博客
12-21 891
UPack PE文件头详细描述UPack说明比较PE文件头重叠文件头IMAGE_FILE_HEADER.SizeOfOptionalHeaderIMAGE_OPTIONAL_HEADER.NumberOfRvaAndSizesIMAGE_SECTION_HEADER重叠节区RVA to RAW导入表(IMAGE_IMPORT_DESCRIPTOR array)导入地址表INT与IAT到底有什么区别呢?UPack调试——查找OEP解码循环 UPack说明 UPack是一种运行时压缩器,其特点是用一种非常独特
UPackPE文件分析与OEP查找
Mi1k7ea
06-11 1736
UPack(Ultimate PE压缩器),是一种PE文件的运行时压缩器,特点是使用独特的方法对PE头进行变形。UPack会使许多的PE分析程序无法正常运行,因此很多恶意代码都是通过UPack进行压缩。   UPack PE文件分析 使用UPack压缩notepad.exe: UPack会直接压缩源文件而不会进行备份。压缩后的notepad文件更名为notepad_upack。 使...
Stud_PE:全面分析upackPE头的强大工具
UPack壳的处理在逆向工程中是一个常见的挑战,因为它会干扰正常的PE文件分析。Stud_PE能够识别和处理upack壳,这使得它在逆向工程领域的实用性和重要性大大提高。即使对于那些不太了解UPack壳的技术细节的用户来说,...
庖丁解牛之UPack工作原理及实例分析(1)
fengling59的专栏
12-29 928
 绿盟科技博客巨人背后的安全专家 Toggle navigation Add a menu Search for: 庖丁解牛之UPack工作原理及实例分析(1) 5 days ago2015-12-28 孙 建坡 阅读: 287 大家都清楚运行时压缩器UPack是软件逆向工程中常见课题;了解运行时压缩,需要掌握基
UPack文件分析学习笔记
qq_45444695的博客
02-17 1757
前言:UPack是一款对PE文件头进行变形的运行时压缩器。由于它独特的压缩方式,使得很多人刚开始分析时一头雾水,无从下手,因为它颠覆了很多人对PE头传统的理解,导致很多人刚开始看到经过它压缩的文件时都认为这些文件或许不能运行,但是事实上是可以的。虽说UPackPE头进行了变形操作,但是我们仍然能从一些蛛丝马迹当中发现其原理。 UPack压缩notepad 我们使用upack 0.39.exe对w...
庖丁解牛之UPack工作原理及实例分析(3)
fengling59的专栏
12-29 741
 绿盟科技博客巨人背后的安全专家 Toggle navigation Add a menu Search for: 庖丁解牛之UPack工作原理及实例分析(3) 3 days ago2015-12-28 孙 建坡 阅读: 131 UPack是软件逆向工程中常见课题;前两篇对于Runtime压缩基础知识和UPack
UPack调试笔记
qq_45444695的博客
02-23 480
文章目录解码函数解密函数重建IAT表OPE 前言:之前我们有说到,upack压缩过后的文件文件头部发生了变化,同时正常文件的第一,第三节区也被压缩到了notepad的第二个节区(第一,第三节区的部分空间已经映射了文件的头部)像麻花一样。 我们知道正常的PE文件文件的第一节区应该是代码段,第二节区是数据段。upack压缩后的数据挤在第二节区,UPack解码需要将该节区的部分数据解密到第一节区。 ...
Upack文件分析学习笔记
river
04-15 2193
逆向工程核心原理的学习
庖丁解牛之UPack工作原理及实例分析(2)
fengling59的专栏
12-29 1016
 绿盟科技博客巨人背后的安全专家 Toggle navigation Add a menu Search for: 庖丁解牛之UPack工作原理及实例分析(2) 3 days ago2015-12-28 孙 建坡 阅读: 128 UPack是软件逆向工程中常见课题;上一篇已经对Runtime压缩基础知识进行了介绍
《逆向工程》之PE文件结构补充
Starr
08-01 560
PE文件格式 文章目录PE文件格式13. PE文件格式13.4 RVA to RAW13.5 IAT13.6 EAT14-15. 运行时压缩压缩器保护器upx举例16. 基址重定位17. 从可执行文件中删除.reloc18. UPack PE文件头重叠文件头_IMAGE_FILE_HEADER.SizeOfOptionalHeader_IMAGE_OPTIONAL_HEADER64.NumberO...
《逆向工程核心原理》学习笔记7 UPack加壳
EloflyS的博客
03-01 1488
《逆向工程核心原理》学习笔记7 UPack加壳 (好久没更了orz) UPack是一款用于给软件加壳的程序,通过对PE头的变形和压缩,达到不让别人识别文件作用的功能。因此骇客经常使用这种加壳程序对他们所编写的病毒进行包装。有些杀毒软件会不加分辨的直接把所有用UPack压缩的文件全部识别为病毒。(本身这个软件没有恶意) 首先要下载UPack,下载链接在这 https://download.csdn....
Upack0.31 脱壳小试,附详细过程
sandikast的专栏
01-14 3622
一、Upack的加壳 Upack作为一种保护壳,独特的PE格式混淆与压缩是很让人惊叹的,很多PE分析器与自动脱壳软件脚本都被干掉了,dwing大神对PE装载器的理解之深入让人不得不佩服得五体投地。 作为测试,先用一个自己写的C#小程序作为加壳对象进行加壳: PEiD检测结果如下: 用百度到的第一个Upack0.31版本对原程序加壳,加壳后的程序PEID检测如下:
UE4之生成pak文件
董国政的博客
06-18 3834
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值