How to unpack PE file packed by UPX 0.72
Analysis:
UPX是一个可以高度压缩PE文件格式的免费的packer,压缩后original file的section被重新组织成4个section,分别从upx0到upx2, section of upx0,其Raw Size是0,但Virtual Size与原始文件Size of Image相比,稍大,可见是UPX是将解压缩后的原始文件数据映射到此;upx1起始部分是被UPX重新构建的Import Table,但很不幸,只包括IMAGE_IMPORT_DESCRIPTOR中的Name部分的正确信息,再往下是被extract出的Resource部分的Icon和Version Information,但无法用eXeScope正确查看;upx2为UPX的解压缩代码,upx3包括被压缩的原始数据。
Unpacking Procedure:
1.用PEditor查看size of image及image base,并记录
2.在Hex Workshop中,查找"EBE261E9",在E9处记下file offset
3.计算E9处的VA
4.在Sice Loader中载入要dump的压缩exe文件,并根据E9的VA设断点
5.中断后,记下断点处jmp 00********,其中跳转的地址是程序真正的EP,并记下
6.根据size of image及image base用IceDump将刚刚解压缩完毕的内存映射数据dump到文件中
7.修改文件的EP,并令各个section的Raw size=Virtual Size, Raw offset=Virtual Size
8.删除section upx2,upx3(一些情况下你可能需要保留upx2)
9.Realign File
Tools to be included:
1.PEditor 1.7 by by yoda and M.o.D.
2.SoftIce for Win9x 4.05 by NuMega Company
3.Hex Workshop by BreakPoint SoftWare, Inc.
4.IceDump 6.0.1.9 by the Icedump Team
5.笔和纸 :-)
以上所有工具均可从Programmer's tools站点下载(别告诉我你不知道)
Problem:
虽然用UPX 0.72加完壳的程序在脱壳后,可以不需重新构建import table,但我看到 import table 结构已完全发生变化,IMAGE_IMPORT_DESCRIPTOR结构中,只有Name部分指向是正确的,而FirstThunk部分定位不正确,但原始文件中被FirstThunk所指向的array of IMAGE_THUNK_DATA与脱壳的文件中存在的部分内存映射是一样的,只是原始文件中的array of IMAGE_THUNK_DATA在被映射到内存中后会被PE Loader替换为各个dll中的function的内存真正入口地址,而在脱壳文件中本身已被UPX手动替换成各个dll中的function的内存入口地址,当脱壳文件被PE Loader载入后,不再需要PE Loader的帮忙,我的疑问就在于此,即我现在搞不清楚,PE Loader在将此脱壳文件装入内存后,就不再需要对这些function做重新定位了吗?每次dll的装载位置都是一样的吗?
另外resource如何重新构建?请高手回答!
Written by dREAMtHEATER
E-Mail: dreamtheater@263.net
2000.10.22
相关视频
相关阅读 Windows错误代码大全 Windows错误代码查询激活windows有什么用Mac QQ和Windows QQ聊天记录怎么合并 Mac QQ和Windows QQ聊天记录Windows 10自动更新怎么关闭 如何关闭Windows 10自动更新windows 10 rs4快速预览版17017下载错误问题Win10秋季创意者更新16291更新了什么 win10 16291更新内容windows10秋季创意者更新时间 windows10秋季创意者更新内容kb3150513补丁更新了什么 Windows 10补丁kb3150513是什么
热门文章 去除winrar注册框方法
最新文章
比特币病毒怎么破解 比去除winrar注册框方法
华为无线路由器HG522-C破解教程(附超级密码JEB格式文件京东电子书下载和阅读限制破解教UltraISO注册码全集(最新)通过Access破解MSSQL获得数据
人气排行 华为无线路由器HG522-C破解教程(附超级密码JEB格式文件京东电子书下载和阅读限制破解教UltraISO注册码全集(最新)qq相册密码破解方法去除winrar注册框方法(适应任何版本)怎么用手机破解收费游戏华为无线猫HG522破解如何给软件脱壳基础教程
查看所有11条评论>>