1.前言
之前脱UPX壳都是用脱壳工具脱的,因此偷懒现在都没有仔细看ImportREC怎么用,最近分析一个很久之前的感染式病毒,遇到了UPX,使用工具脱壳失败,只能手动修复了。
壳是简单的UPX壳,知识需要手动修复导入表而已。
2.修复过程
UPX在外壳入口点一大堆代码之后有一个jmp指令,直接跳到OEP,此样本在入口点和jmp之间会多次调用LoadLibrary和GetProcAddress来获取函数地址。
之后会将地址保存到ebx中
跟踪到数据窗口中,在函数地址获取结束后,可以看到这些IAT是不连续的。因为导入了多个dll,因此会有多个IAT。正常的IAT之间是以一个DWORD大小的0来隔开的。
此时就要用到《加密与解密》书中在脱壳一章中提到的关于不连续IAT的处理方法。在知道某个IAT大致位置后,往前翻,找到第一个IAT开始的位置,然后找到最后一个IAT,计算一下总的大小,填到RVA和Size里面。(大小不用太精确,只要确保不小于真正的大小就行),点击获取输入表即可。
开始:0x96F0E4 结束:0x96FD2B SIZE:0xc47 RVA:0x96F0E4-0x910000=0x5F0E4
转储保存之后,用IDA查看,基址是40000,函数调用都变成了Memory[地址],在IDA中修改基址为0x910000,函数调用变成了dword_地址,将如下图所示的 【Address Value Comment】形式的函数都复制出来。使用脚本替换IDA中的dword_地址。
src = open('ea.txt','rb').readlines()
for line in src:
addr = int(line.split(' ')[0], 16)
name = 'lp_' + line.split(' ')[2].split('.')[1].strip()
print hex(addr), '--->',name
MakeNameEx(addr, name, SN_NOWARN)
print 'finished.'
3.总结
不要偷懒呀,不然啥都不会了。
扫一扫
1617
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
