文章目录前言使用UPX技术原理应用范围软件CTF实战程序查询UPX脱壳总结
前言
shell软件分为两大类。
压缩壳:压缩的目的是减少ASPack、UPX、PECompact等程序的体积;加密壳:加密由ASProtect、Armadillo、EXECryptor、Themida、VMProtect等程序进行反编译(反汇编)、跟踪和调试如果shell存在,则找不到程序的真正入口点,无法正确分析反汇编的程序,从而可以保护程序。
加密外壳的基本思想:
加密程序,用于将原始程序的PE相关代码复制到修补程序(shell )中; 更改程序入口点,以便在程序启动后先运行修补程序; 修补程序根据以前复制的相关代码解密和恢复程序,以确保程序正常运行。 撤消后,返回原始入口点。 本文不讨论加密壳,而是通过攻防世界CTF的反主题简单包学习基于UPX的压缩壳的特点和外壳。
upx超高速(theultimatepackerforexecutables )是先进的可执行文件压缩器,也是著名的压缩外壳,主要功能是压缩PE文件(exe、dll等文件),有时
upx shell是一个保护程序,通常是EXE文件的外部保护措施。 主要用途如下:
保护正规文件,使其不容易修改和解读; 保护防病毒软件安装程序免受病毒影响,以减少文件压缩; 木马,病毒保护壳,使之不易被打破。 技术原理UPX是针对可执行程序资源压缩保护文件的常用手段。 俗称“shell”,shell程序可以直接运行,但不能显示源代码。 只有脱壳后才能看到源代码。
upx shell实际上是利用特殊的算法来压缩EXE、DLL文件中的资源。 效果类似于WINZIP,但压缩文件可以独立运行,解压缩过程完全隐藏,并在内存中进行。 解压缩的原理是shell工具向文件头部添加命令,并告诉CPU如何解压缩自己。 添加shell时,将外套添加到实际可执行文件中。 用户运行的只有这个shell程序。 运行这个程序后,这个外壳用内存解开原来的程序,解开后,后面的东西交给真正的程序。
适用范围压缩文件
用UPX压缩的可执行文件大小将减少50%-70%,减少磁盘占用空间、网络下载时间、其他分布和存储成本。 用UPX压缩的程序和库与压缩前一样没有功能损失,运行正常。 大多数受支持的格式程序没有运行时间或内存负面影响。
加壳脱壳
必须添加shell才能反向跟踪程序、被人跟踪并调试程序,以及防止算法程序被他人静态分析。 使用shell软件加密代码和数据可以保护程序数据的完整性,防止程序更改和内部人员窥探。
软件使用UPX软件的Github下载地址,拿来就可以吃了:
在cmder中打开,使用-h参数,可以确认使用方法。核心的用法如下:
upx sample.exeupx -d sample.exe压缩可执行文件解压缩可执行文件了解CTF upx shell的基础知识后,回到主题,回到simple-unpack主题(附件下载位置) 主题如下。
既然程序的shell检查表明标题是“shell化的二进制文件”,那么下载后查看shell化情况是理所当然的,知道是64位文件,进行了upx shell保护:
如果直接拖动到IDA pro 64位来查看程序的结构,则可以看到压缩shell处理后的程序函数非常少。
但是,发现在十六进制显示区域点击“Alt T”快捷键进行flag关键字检索时,可以看到flag。 ()有时惊讶,有时意外…)
这可能就是压缩壳的弊端。 如果不加密源程序,压缩也会泄露源程序的数据。
UPX脱壳如上取得了flag值,但本文的重点是将UPX的脱壳与UPX的外壳、脱壳后的文件结构进行比较,因此以下将继续进行目标文件的脱壳。
不要乱说,直接上传到upx软件,然后脱壳(解冻) :
然后,直接将退出的文件拖动到IDA Pro进行反汇编,可以了解源程序的代码结构,并在main函数中找到flag,如下图所示。
最终flag值: flag { upx _ 1s _ n0t _ a _ D3 liv 3r _ c0MP4 ny },over!
本文学习记录了UPX软件的外壳、脱壳(压缩与解压缩)方法,并直观比较了该外壳后脱壳后的文件结构。 总的来说,压缩外壳的作用有限,UPX已经应用很久,外壳技术成熟,用于反编译、防病毒的作用非常有限,杀毒引擎几乎可以直接识别UPX外壳的病毒程序因此,要添加shell以达到防止反编译、反调试跟踪的目的,必须使用加密shell而不是压缩shell。 关于加密外壳的解密分析练习,等待下一步的学习!