吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 11481|回复: 67
收起左侧

[原创] [我的代码传记]upx脱壳重定位表修复

  [复制链接]
psycongroo 发表于 2020-11-1 21:51

前言

一个风和日丽的下午,鸟儿在枝头高唱,花儿在草中盛放,而我,在电脑前暴怒。本来满怀欣喜的脱了个简单的upx壳,没想到却让我暴跳如雷。

“这是什么啊,怎么用了官方的脱壳命令还运行不了。”对自己发自灵魂的拷问,再一次从旁印证,菜,真的是菜的抠脚。

1.png

于是乎我疯狂点击x32dbg,那一瞬间我以为我疯了,自己反编译调试自己的代码,这总感觉有点令人抓狂。
在一两下的F9运行之后,我找到了问题所在:

2.png

异常断在了红框的语句,咋一看似乎没有什么问题,但多次与脱壳前的程序对比,我们就发现了一个问题:被赋值的地址是变动的

“啊哈!”,我掩盖不住心中的狂喜。既然已经找到了问题的所在,只要把问题解决了那不就行了。

于是乎我用StudyPE载入了脱壳后的文件,轻轻点了一下鼠标,随着清脆的点击声,问题迎刃而解。

3.png

一问到底

满脸欣喜的我,笑容很快从脸上褪去,剩下的只有难以言表的寂寞和空虚,总感觉缺了点什么,我不禁的问自己,刚刚做了什么。

问题解决了吗?是的,从结果上来看我们解决了问题,但从过程来看,哦不,我们完全没有解决。

某些时候,借助一些工具亦或者投机取巧解决问题,总感觉不踏实,不知道各位如何,反正我有这种感觉。

尚在学习阶段的我,于是乎决定一探究竟,找到根源之所在,连根拔起。这次,我又一次点开了x32dbg,与前几分钟不同的是,我多了几分平静,多了几分祥和。

或许有足够耐心的你,看着文笔尚不算太好,甚至意义不明的“技术文章”,至此仍然没看到问题的说明,感到了不耐烦。客官先别着急,且听我细细道来——这次问题的触发归根到底是原程序的重定位表没有被写到脱壳后程序的重定位表中来才使得涉及到内存地址的变量发生了错误。

让我们言归正传,再一次定位到异常触发的地方——那个赋值语句。既然脱壳后程序的内存地址没有改变,就侧面证明了加了壳的程序中,这个地址是由一段代码更改而不是根据加壳程序的重定位表更改的。也就是说upx壳他模仿了Window系统根据重定位表改写地址的方法,通过自己储存原程序重定位表,再用自己代码改写。

尽管用了一段不算太长也不算太短的文字来描述了一下整个推理过程,但机智的我仅用了一瞬间就已经想到这些东西(自夸)。同时我又迅速的记住了发生错的代码的rva(其实是复制),然后打开脱壳前的程序,定位到了发生错误的地方,并对这个地址打下了硬件写断点:

4.png

显然,此时的代码还没被upx解压,但我们没有关系,直接来到对应的内存地址并打下了硬件写断点,在几次F9后,我们来到了一个改写这个地方的代码:

5.png

excellent!是循环!它出现了!或许在大家眼里,它只是一个微不足道的循环体,但我却看到了胜利的曙光。这么大的重定位表,并且要对它操作,有循环基本是八九不离十的。当执行到红框语句,对应地址就被更改了。随后在一些微小的分析下,我梳理出了如下过程:

  1. edi指向一个记有偏移量的表,每次循环根据情况取1个或2个字节,直到遇到0字节。

7.png

  1. ebx对上一步结果进行累加,ebx最初值为第一个区段的内存虚拟地址减去4

66.png

3.ebx累加的结果其实就是需要变化的地址的地址,也就是重定位表结构中的VA和offset低位,以及基址的相加(不熟悉的学友萌可以去看看重定位表的结构,我也看了好多遍)。

typedef struct _MyReloadtion {
    DWORD virtualAddress;
    DWORD sizeOfBlock;
    vector<WORD> typeOffset;  //高4位表类型,一般都是3000  低12位表示偏移量
//所以这里ebx实际上就是 ebx = virtualAddress + typeOffset低12位
}MyReloadtion, *pMyReloadtion;

所以我们只要把ebx的结果分离出来,符合重定位表的结构,最后再写进我们脱壳程序的重定位表中,便可大功告成。

头皮发麻

既然我们都知道怎么做了,剩下所面临的就是解决方法的问题。或许我们可以选择hook,把循环里每一个ebx值记录下来,经过变化就可以获取到重定位表。

而作为老实人的我,由于并不知道怎么hook这种没有在Call里面的代码,所以选择了第二种令人头皮发麻的方法——模拟PE加载到内存中,获取第一区块的虚拟地址,再把位移表提取出来,通过模拟上述的步骤,来获取重定位表。

这对于尚在襁褓之中的我来说无疑是具有十分的挑战性的,可我都分析到这个地步了,岂能惹急你怂。此时我心中暗暗下了个毒誓,写不出来王x蛋。

就这样,我开始了漫长的C++之旅。

胜利之光

又一个阳光明媚的下午,叶儿在空中飞舞,蝶儿在花中跳舞,而我的头发在空中飘落。

不得不说,打代码是令人烦躁的,要用一成不变的言语来表示我千变万化高超的思维,这简直就是侮辱我的灵魂(开个玩笑)。为什么脑袋一团混沌,为什么情绪一向暴躁,很大的原因可能是我们解决问题的时候没有分步看待并解决。

以繁化简,让复杂的问题分成几个简单的问题。而我在这里就分成以下几个步骤:

  1. 提取位移表
  2. 模拟系统将PE文件载入内存。
  3. 模拟汇编中的循环,算出重定位表
  4. 将新的重定位表加到脱壳的程序里

当我理清了四个方向并逐个问题加以百度辅助解决后,心态就有了明显的恢复,而脸上也露出了久违的猥琐的笑容。

废话说完了,接下来看看三个步骤的实施过程:

  1. 提取位移表:
    提取位移表很简单,在x32dbg中,用文章之前的方法,定位到循环块,找到edi指向的地址,右键提取,保存成bin文件即可。
    8.png

  2. 模拟系统将PE文件载入内存并获取第一个节区的内存地址:
    整体思路:
    2.1 通过读取文件来获取NT头中FileHeader的区块数量属性以及OptionHeader的PE头大小属性,OptionHeader大小属性,内存中节区对齐量属性。
    2.2 将映像大小根据对齐量对齐后,载入整个PE头。
    2.3 通过FileHeader大小,Signature大小,OptionHeader大小相加,最后得出区块表的开始地址。
    2.4 遍历区块表,加载对应的区块并记录第一个节区内存地址。


DWORD getReloadBase() {
    //1.获取FileHeader和OptionHeader的一些关键变量
    HANDLE hfile = CreateFileA(targetName, GENERIC_READ, FILE_SHARE_READ, NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL);
    LPDWORD receiveSize = NULL;
    if (hfile == INVALID_HANDLE_VALUE || GetLastError() == ERROR_FILE_NOT_FOUND)
    {
        std::cout << "找不到目标文件" << GetLastError() << std::endl;
        return NULL;
    }
    // 读取dos头
    IMAGE_DOS_HEADER dosHeader;
    DWORD dosHeaderSize = sizeof(dosHeader);
    BOOL dosReadResult = ReadFile(hfile, &dosHeader, dosHeaderSize, receiveSize, NULL);
    if (!dosReadResult)
    {
        std::cout << "读取dos头错误" << GetLastError() << std::endl;
        return NULL;
    }
    // 读取NT头
    IMAGE_NT_HEADERS32 ntHeader;
    DWORD pointerResult = SetFilePointer(hfile, dosHeader.e_lfanew, NULL, FILE_BEGIN);
    if (pointerResult == INVALID_SET_FILE_POINTER)
    {
        std::cout << "设置读取指针为NT头时错误" << GetLastError() << std::endl;
        return NULL;
    }
    BOOL ntHeaderResult = ReadFile(hfile, &ntHeader, sizeof(ntHeader), receiveSize, NULL);
    if (!dosReadResult)
    {
        std::cout << "读取NT头错误" << GetLastError() << std::endl;
        return NULL;
    }
    WORD peHeaderSize = ntHeader.OptionalHeader.SizeOfHeaders;
    WORD setctionNums = ntHeader.FileHeader.NumberOfSections;
    DWORD imageSize = ntHeader.OptionalHeader.SizeOfImage;
    DWORD sectionAlign = ntHeader.OptionalHeader.SectionAlignment;

    //2. 对齐镜像并载入PE头
    int mImageSize = alignSize(imageSize, sectionAlign);
    mImageBase = new char[mImageSize];
    memset(mImageBase, 0, mImageSize);
    SetFilePointer(hfile, 0, NULL, FILE_BEGIN);
    ReadFile(hfile, mImageBase, peHeaderSize, receiveSize, NULL); //将文件头写入

    //3. 计算并获取区块表起始地址
    PIMAGE_NT_HEADERS mpNtheader = (PIMAGE_NT_HEADERS)((DWORD)mImageBase + dosHeader.e_lfanew);
    int mNtHeadersSize = sizeof(ntHeader.FileHeader) + sizeof(ntHeader.Signature) + ntHeader.FileHeader.SizeOfOptionalHeader;

    PIMAGE_SECTION_HEADER mpSectionHeader = (PIMAGE_SECTION_HEADER)((DWORD)mpNtheader + mNtHeadersSize);

    DWORD keyBaseAddress = NULL;

    //4. 遍历区块表加载区块
    for (int index = 0; index < setctionNums; ++index)
    {
        DWORD va = mpSectionHeader->VirtualAddress;
        if (index == 0)
        {
            keyBaseAddress = va;
        }
        DWORD rawSize = mpSectionHeader->SizeOfRawData;
        DWORD vaSize = mpSectionHeader->Misc.VirtualSize;
        DWORD rawOffset = mpSectionHeader->PointerToRawData;

        if (rawSize == 0)
        {
            continue;
        }
        else
        {
            SetFilePointer(hfile, rawOffset, NULL, FILE_BEGIN);
            ReadFile(hfile, &mImageBase[va], rawSize, receiveSize, NULL);
        }
        mpSectionHeader++;
    }

    keyBaseAddress -= 4;
    CloseHandle(hfile);
    return keyBaseAddress;
}
  1. 模拟汇编中的算法得出重定位表
    整体思路:
    3.1 从位移表拿取一个字节,若大于EF取后两个字节。
    3.2 将拿取到的字节与第一个节区内存地址-4相加。
    3.3 通过一些位运算拿到重定位表中的变量。
void buildReloadtionTable(DWORD baseAddress, char* pRelateTable) {
    //1. 位移+基值,变化后拿到offset
    vector<MyReloadtion> reloadtionTable;
    MyReloadtion reloadtion;

    int index = 0;
    int size = 0;
    // 记录上一个计算出来的重定位表项的虚拟内存地址
    DWORD lastVirtualAddress = NULL;
    //为第一个区块内存地址-4
    DWORD pReload = baseAddress;
    while (true)
    {
        //1.拿取位移表一个字节
        WORD relate = (BYTE)*pRelateTable;
        pRelateTable++;
        if (relate == 0)
        {
            reloadtion.sizeOfBlock = calSizeofBlock(size);
            reloadtionTable.push_back(reloadtion);
            break;
        }
        //2. 判断拿到的字节是否大于EF
        if (relate > 0xEF)
        {
            relate = *pRelateTable;
            BYTE hightRelate = *(pRelateTable + 1);
            BYTE lowRelate = relate;
            relate = ((hightRelate << 8) | lowRelate);
            pRelateTable += 2;
        }
        pReload += relate;

        //3. 位运算获取offset
        DWORD virtualAddress = pReload & 0xF000;
        WORD typeOffset = pReload & 0xFFF | 0x3000;

        if (lastVirtualAddress == NULL)
        {
            reloadtion = MyReloadtion();
            reloadtion.virtualAddress = virtualAddress;
        }
        else if(lastVirtualAddress != virtualAddress)
        {
            reloadtion.sizeOfBlock = calSizeofBlock(size);
            reloadtionTable.push_back(reloadtion);

            size = 0;
            reloadtion = MyReloadtion();
            reloadtion.virtualAddress = virtualAddress;
        }
        reloadtion.typeOffset.push_back(typeOffset);
        size++;
        lastVirtualAddress = virtualAddress;
    }
    //保存到文件
    saveToFile(reloadtionTable);
}
  1. 将新的重定位表加到脱壳的程序里:
    整体思路:
    4.1 为程序添加一个新的区块(使用工具如PEStudy)
    4.2 将重定位表复制过去(HEX WORKSHOP)
    4.3 修改PE文件的重定位表指向(LordPE)

9.png

9.1.png

10.png

遗憾收场

那一天显得特别宁静,我如往常一样坐在那里。“终于做出来了...”我轻轻的叹了口气,神态略显轻松,滑动着鼠标的滚轮。看着眼前快速滑动的代码行,心中百感交集。想想当初零行的代码到现在上百行,对于刚入门WIN32以及C++来说确实是不容易。

再用了几次写的代码修复程序后,心中却开始感到了不满。“为什么我每次都得自己找位移表,为什么我每次都得用工具新建区块,为什么每次都要我修改重定位表的rva,为什么我的代码不能一次实现呢?”

带着这个遗憾,我写下了这篇文章,不为别的,只为和大家分享。

那段汇编的循环代码

31 C0 8A 07 47 09 C0 74 22 3C EF 77 11 01 C3 8B 03 86 C4 C1 C0 10 86 C4 01 F0 89 03 EB E2 24 0F C1 E0 10 66 8B 07 83 C7 02 EB E2

大家如果想探索文章提到的upx还原重定位表的部分,可以直接在调试器中用上面数据搜索直接定位到相关代码。

关于代码使用

将exe放到加了upx壳的程序的目录下,将提取出来的位移表命名为rva.bin,加壳程序命名为target.exe,成功运行后,会生成一个叫result.bin的文件,这个就是重定位表。
本程序并没有做多版本的window测试,也没有做upx多版本测试,目前只在自家的win10下测试并通过,使用的upx版本为3.96w。

11.png

结语

这篇文章废话较多,作为技术文来说或许是不及格的。其实一直都想用一种叙事的手法来写,这可能是新的尝试呢,所以希望各位学友不嫌烦,能较为有趣的看完。

关于刚刚提到的遗憾,笔者也会着手尝试,让一切自动起来。

附件

https://share.weiyun.com/wTws5RD3

免费评分

参与人数 41威望 +2 吾爱币 +143 热心值 +39 收起 理由
dbgcode + 1 + 1 我很赞同!
wxrfirstblood + 1 谢谢作者
Flame7w7 + 1 我很赞同!
joogavin + 1 + 1 用心讨论,共获提升!
ljj_1025 + 1 + 1 用心讨论,共获提升!
月牙儿 + 1 + 1 鼓励转贴优秀软件安全工具和文档!
lookerJ + 1 + 1 我很赞同!
fghqa3v + 1 + 1 用心讨论,共获提升!
Eaglecad + 1 + 1 我很赞同!
小菜鸟一枚 + 1 + 1 我太菜了,没看懂后面的
Yennfer_ + 3 + 1 谢谢@Thanks!
摩托马上没油了 + 1 + 1 热心回复!
牧羊的人 + 1 + 1 我很赞同!
不能吃的李子 + 1 谢谢@Thanks!
GhostThrone + 1 谢谢@Thanks!
染个我 + 1 + 1 谢谢@Thanks!
十五先生 + 1 热心回复!
foxcelles + 1 + 1 用心讨论,共获提升!
杜小康 + 1 + 1 用心讨论,共获提升!
嘟囔嘟囔 + 1 用心讨论,共获提升!
gaosld + 1 + 1 热心回复!
ycsyywl + 2 + 1 文笔不错,看着很有意思
fengbolee + 1 + 1 用心讨论,共获提升!
DamonBernard + 1 + 1 用心讨论,共获提升!
victos + 1 + 1 谢谢@Thanks!
0615 + 1 + 1 我很赞同!
Hmily + 2 + 100 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
永昌 + 1 谢谢@Thanks!
欧雨鹏 + 1 + 1 谢谢@Thanks!
__不说 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
Tolove + 1 + 1 请问哪里能买到您的著作
Poner + 7 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
深水夜藏 + 1 + 1 我很赞同!
zjun777 + 1 用心讨论,共获提升!
weemy96 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
涛之雨 + 1 + 1 用心讨论,共获提升!
火焰加鲁鲁 + 1 加油,路人小白路过
为之奈何? + 1 + 1 我很赞同!
Link_Stark + 2 + 1 谢谢@Thanks!
smile5 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
hszt + 1 + 1 用心讨论,共获提升!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

 楼主| psycongroo 发表于 2020-11-4 19:22
欧雨鹏 发表于 2020-11-4 12:47
前辈,还有一个不明白的地方,获取了section的第一个区块的RVA,为何要-4,看到你代码中获取的的结果keyBaseA ...

因为upx的汇编代码里就是把第一个区块的地址-4,然后加上位移表。这不是什么特别的东西,是upx自己的算法。你可以在汇编代码里的那个循环里第一次的循环,看ebx的值,也就是我截图的那句add ebx, eax。如果你用x32dbg,点上面的内存布局,找到一个节区叫upx0,看它地址,你就会得出这个结论。

如果复制进去,只需要任意一个16进制的文本编辑工具,如hexworkshop,010editor都可以,winhex没用过,应该也是可以的。
 楼主| psycongroo 发表于 2020-11-3 22:15
欧雨鹏 发表于 2020-11-3 21:54
这个studype版本贼新,1.09版本没有这个固定基址的功能。
另外,想问一下楼主,在反汇编中跟到的重定位表 ...

偏移表是存在内存的,可以直接保存出来。如果你是想用hook的方法,也就是说不想自己再模仿他的算法,那么hook就会在循环里,每次循环记录一次。
原来的upx,rsrc,syc不用删除,你只要添加新的节区,然后往里面按重定位表的格式填virtual,size,offset,最后再更改PE头中的指向重定位表的目录地址就可以了。
hszt 发表于 2020-11-1 22:20
你与明日 发表于 2020-11-1 22:23
很强,反正我自己接触久了之后发现地址在0x400000也不错,而且IDA也不用改ImageBase
 楼主| psycongroo 发表于 2020-11-1 22:46
你与明日 发表于 2020-11-1 22:23
很强,反正我自己接触久了之后发现地址在0x400000也不错,而且IDA也不用改ImageBase

确实,exe的话没必要修重定位哈哈哈,只是遇到了就有这样的想法,然后就去试试了。
桂花糕乀 发表于 2020-11-1 22:58
文章 有趣,代码虽然复制无聊,但文字有趣!
wq5883 发表于 2020-11-2 08:02
虽然看不懂,也要支持一下。
子尤 发表于 2020-11-2 13:46
反编译这块确实比较费脑子,支持一下
Dawnth 发表于 2020-11-2 22:02
太厉害了,支持一下
深水夜藏 发表于 2020-11-2 22:57
感谢分享,支持一下
ldw471427015 发表于 2020-11-2 23:15
我说句实话  你应该去写小说 或者 段子
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-25 05:02

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表