upx解压出现 p_info corrupted错误解决办法

最新推荐文章于 2025-06-09 12:34:32 发布
最新推荐文章于 2025-06-09 12:34:32 发布
阅读量1.6k 收藏 2
点赞数 2
CC 4.0 BY-SA版权
分类专栏: 网络、安全 文章标签: 反病毒
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/lirunling/article/details/121264093
本文讲述了如何处理遇到的upx3.93加壳的work32挖矿木马,通过winhex修复p_info并成功脱壳的详细过程,最终在IDA中完成正常分析。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

今天捕获到一个挖矿木马work32,在分析过程中,查壳发现加壳为 upx3.93

使用upx脱壳工具脱壳过程中,会提示以下错误

p_info corrupted为p_info损坏,百度了一圈说是病毒制作者使用的一种防范手段,不让轻易脱壳

下面为解决这个问题的方法

使用winhex十六进制查看工具查看这个加壳的样本,发现upx文件头的p_info位置的12个字节部分被0填充,这也是我们无法解压的原因

现在要恢复p_info的值,而p_info和p_filesize包含相同的值,p_filesize的值在文件的末尾,如下这个位置

把这个位置的值复制,填充 p_info位置的5-12字节,如下:

保存之后再用upx工具脱壳,就可以成功脱壳,结果如下:
 

载入ida中,发现脱壳已经成功,可以正常分析

 

 

 

 

掌握最新UPX压缩技术:3.8.0.0版本全面解析
weixin_36184718的博客
06-27 912
UPX(Ultimate Packer for eXecutables)是一款开源且广泛使用的可执行文件压缩器。它采用特定的压缩算法,旨在减小Windows、Linux和DOS系统下可执行文件的大小。UPX在压缩的同时保持了可执行文件的可运行性,而不会影响其正常运行。
UPX压缩和解压器,实现exe文件压缩和解压
03-19
UPX压缩和解压缩器,不是源码,是工具,可以实现exe文件的压缩和解压
UPXUnPacKer.V0.3:UPX壳快速解包工具
最新发布
weixin_36364707的博客
06-09 1584
UPX(Ultimate Packer for eXecutables)是一款广泛使用的可执行文件压缩工具,它能够减小Windows可执行文件(.exe)以及可链接库文件(.dll)的体积。通过压缩,UPX能够有效节省磁盘空间并加快软件的分发速度。UPX通过重新编码和优化程序来实现压缩,而且它具有可逆性,即压缩后的程序可以通过UPX解压工具完全还原。UPX支持多种压缩算法,并提供了高度的压缩比和良好的压缩速度。
linux upx 报错 NotCompressibleException
whatday的专栏
01-19 3462
现象: 在Linux而非Windows中编译C语言源并用UPX压缩时。在终端:中列出UPX: test.so NotCompressibleException。的源代码test.c是: int main(){ int i = 0; printf("HelloWorld\n"); return 0; } 原因:二进制文件的太小。UPX无法处理40Kb以下的二进制文件。...
upx解压
weixin_34233679的博客
11-04 810
2019独角兽企业重金招聘Python工程师标准>>> ...
upx脱壳教程(简单易学,附安装包)
2303_80796023的博客
03-29 9183
很简单的upx脱壳教程
推荐开源项目:UPX - 全球领先的可执行文件压缩工具
gitblog_00090的博客
03-19 992
推荐开源项目:UPX - 全球领先的可执行文件压缩工具 是一个强大的、免费的、跨平台的实用程序,用于压缩和解压多种类型的可执行文件。它支持Windows、Linux、Mac OS X等多种操作系统上的多种文件格式,包括PE, ELF, Mach-O等。通过使用UPX,开发者可以显著减小他们的应用程序大小,提高分发效率,并在一定程度上增强软件的安全性。 技术分析 UPX 使用先进的压缩算法,能够对可...
UPX.v3_rar压缩源码_UPX_UPX算法_Vc_
10-03
在本压缩包中,"UPX.v3_rar压缩源码_UPX_UPX算法_Vc_"可能包含的是一个实现了使用UPX压缩的VC++项目的源代码示例。这将有助于开发者理解如何在自己的项目中集成UPX,实现程序的压缩。通过研究这个示例,你可以学习...
upx-3.04-i386_linux.rar_UPX_linux 加密_upx linux_upx 加密
09-20
"upx_加密"这一标签表明了UPX的加密特性。它并不提供高强度的安全加密,但能通过混淆技术使得原始代码难以被反编译或逆向工程。这对于保护软件知识产权和防止恶意修改是有所帮助的。然而,值得注意的是,UPX的加密并...
upx-3.91-src.tar.gz_UPX_compress_upx 3_upx src
09-24
通过 UPX 压缩过的程序和程序库完全没有功能损失和压缩之前一样可正常地运行,对于支持的大多数格式没有运行时间或内存的不利后果。 UPX 支持许多不同的可执行文件格式 包含 Windows 95/98/ME/NT/2000/XP/CE 程序和...
upx-3.94-src.zip_UPX_UPX 3.94 压缩_linux 压缩壳_upx src_加壳
09-21
UPX(Ultimate Packer for eXecutables)是一个著名的开源工具,用于对可执行文件进行压缩和封装,以减小程序的大小并提供一定程度的保护。标题中的"upx-3.94-src.zip"指的是UPX 3.94版本的源代码压缩包,适合Linux...
UPX压缩和解压
12-27
UPX压缩和解压
UPX____压缩壳
08-05
总结,UPX是一种强大且流行的可执行文件压缩工具,它提供了高效、易用的解决方案来减小程序体积,同时也带来了加载速度的提升和反调试特性。然而,任何工具都有其适用范围,使用时应根据具体需求和环境谨慎评估。
nuitka3打包提示: FATAL: upx: Error
坐公交也用券
10-10 781
Upx压缩程序没有执行权限。
x-cmd pkg | upx - 一个开源的可执行文件压缩工具
edwinjhlee的博客
09-28 1631
UPX(全称: Ultimate Packer for eXecutables),是一个开源的可执行文件压缩工具。它的主要目的是将可执行文件和共享库(通常是二进制文件)压缩为更小的尺寸,从而减少磁盘占用空间和下载时间。UPX 采用无损压缩技术,可以在不影响可执行文件的功能的情况下(压缩后的文件仍可直接执行)减小文件的大小。它通常用于减小应用程序、二进制文件或脚本的大小,特别是在需要分发或传输这些文件时,以减少带宽和存储成本。
您没有权限打开应用程序,Exception: not packed by UPX
jianger的博客
12-24 1625
在使用upx之后 出现Exception: not packed by UPX 最终的解决方法: 在终端输入 codesign --force --deep --sign - /Applications/AppName.app 注意:替换AppName为无法打开的应用程序名 作用:它将尝试强制签署应用程序并为您提供运行它的权限 ...
UPX压缩
ditie0679的博客
12-10 379
什么是UPX UPX (the Ultimate Packer for eXecutables)是一款先进的可执行程序文件压缩器,压缩过的可执行文件体积缩小50%-70% ,这样减少了磁盘占用空间、网络上传下载的时间和其它分布以及存储费用。 通过 UPX 压缩过的程序和程序库完全没有功能损失和压缩之前一样可正常地运行,对于支持的大多数格式没有运行时间或内存的不利后果。 UPX 支持许多...
通过手动给upx去壳简单了解逆向
A_991128a的博客
08-27 2888
对于像我这种想入门逆向的,这种方式真的可以培养兴趣,也从中学到了很多知识,我也不会仅仅止步于脱upx的。[外链图片转存中…(img-xkCBlSoD-1693021558445)]即可。对于像我这种想入门逆向的,这种方式真的可以培养兴趣,也从中学到了很多知识,我也不会仅仅止步于脱upx的。
UPX对Android上ELF加壳使用过程中的若干问题总结
beyond702的专栏
07-12 8320
下面内容部分摘录自:http://www.cnblogs.com/fishou/p/4202061.html 5、相关问题总结 5.1、编译UPX出现“cannot find -lz”错误。          分析:原因是链接器LD没有找到编译出来的zlib库libz.so或libz.a。          解决方法:将libz.so或libz.a拷贝到系统默认的动态链接库
upx加壳工具使用失败怎么解决
03-18
<think>好的,我现在需要帮助用户解决UPX加壳工具使用时出现的错误。根据用户提供的引用内容,问题主要集中在两个错误:“DT_TEXTREL found; re-compile with -fPIC”和“p_info corrupted”。我得先分别分析这两个错误的原因,然后给出解决方案。 首先看第一个错误:编译UPX时出现“DT_TEXTREL found; re-compile with -fPIC”。引用[1]提到这是因为ELF文件中存在DT_TEXTREL重定位段,说明代码段被修改,需要重新编译时加上-fPIC选项。所以解决方法应该是让用户检查他们的编译参数,确保生成位置无关代码。可能需要指导用户如何修改Makefile或编译命令,加入-fPIC参数。另外,可能需要确认是否所有依赖库都使用了-fPIC,尤其是静态库部分。 接下来是第二个错误:“p_info corrupted”。引用[2]指出,使用winhex查看样本时发现p_info部分被0填充,导致解压失败。这可能是因为加壳过程中文件头被破坏,或者加壳后的文件被篡改。解决方法可能需要用户手动修复文件头,或者检查加壳过程是否正确,是否有权限问题导致写入不完整。另外,建议用户使用十六进制编辑器检查并修复p_info结构,或者重新加壳并确保过程无误。 同时,引用[3]提到UPX源码分析,可能需要更深入理解加壳机制,但用户可能不需要涉及源码,除非问题复杂。不过可以作为参考,了解UPX如何处理文件头信息,帮助诊断问题。 现在需要将这些分析整理成步骤,用中文清晰表达,分点解决每个错误。同时,生成相关问题,如如何预防这些错误,或者其他常见错误的处理方法。确保按照用户给的格式,使用正确的LaTeX,但用户的问题中没有数学公式,所以可能不需要数学表达式。但需遵守系统级指令,比如行内公式用$...$,独立公式用$$...$$,不过这里可能用不上。需注意用户提供的引用标识要正确添加到回答中,例如在解决方案后加上[^1]、[^2]等。 最后检查是否有其他可能的错误或用户未提及的问题,如权限不足、文件损坏等,适当补充通用建议。确保回答结构清晰,步骤明确,用户能一步步操作解决问题。</think>### UPX加壳工具常见错误解决方案 #### 一、错误类型1:编译时出现`DT_TEXTREL found; re-compile with -fPIC` **问题原因** ELF文件包含`DT_TEXTREL`重定位段,说明代码段被修改,不符合UPX加壳要求。通常是因为编译时未生成位置无关代码(PIC)。 **解决方案** 1. **重新编译目标程序** 在编译命令中添加`-fPIC`参数(生成位置无关代码): ```bash gcc -fPIC -o your_program your_source.c ``` 2. **静态库需同步调整** 若依赖静态库,需重新编译静态库并添加`-fPIC`参数。 3. **验证编译结果** 使用`readelf -d your_program`检查输出中是否包含`TEXTREL`字段。若无此字段,则修复成功。 --- #### 二、错误类型2:解压时出现`p_info corrupted` **问题原因** UPX文件头的`p_info`结构(12字节)被破坏,可能是加壳过程中文件头被覆盖或篡改[^2]。 **解决方案** 1. **手动修复文件头** 使用十六进制编辑器(如WinHex)定位到UPX文件头,检查`p_info`字段是否被填充为`0`。若已损坏,需根据原始文件信息重建该字段。 *UPX文件头格式示例*: ``` UPX! [版本] [文件属性] [p_info] ... ``` 2. **重新加壳并检查权限** 确保加壳时具有文件写入权限,避免因权限不足导致数据丢失: ```bash upx --best -o output_file input_file ``` 3. **验证文件完整性** 使用`upx -t output_file`测试加壳后文件是否可正常解压。 --- #### 三、其他通用建议 1. **使用UPX官方版本** 避免第三方修改版导致兼容性问题,从[UPX官网](https://upx.github.io/)下载最新版本。 2. **检查文件格式支持** UPX仅支持特定格式(如ELF、PE),确认目标文件类型是否符合要求[^3]。 3. **调试模式运行** 添加`-v`参数查看详细日志: ```bash upx -v input_file ``` ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值