upx脱壳重定位表修复传

前言

一个风和日丽的下午,鸟儿在枝头高唱,花儿在草中盛放,而我,在电脑前暴怒。本来满怀欣喜的脱了个简单的upx壳,没想到却让我暴跳如雷。

“这是什么啊,怎么用了官方的脱壳命令还运行不了。”对自己发自灵魂的拷问,再一次从旁印证,菜,真的是菜的抠脚。

image.png

于是乎我疯狂点击x32dbg,那一瞬间我以为我疯了,自己反编译调试自己的代码,这总感觉有点令人抓狂。
在一两下的F9运行之后,我找到了问题所在:

2.png

异常断在了红框的语句,咋一看似乎没有什么问题,但多次与脱壳前的程序对比,我们就发现了一个问题:被赋值的地址是变动的

“啊哈!”,我掩盖不住心中的狂喜。既然已经找到了问题的所在,只要把问题解决了那不就行了。

于是乎我用StudyPE载入了脱壳后的文件,轻轻点了一下鼠标,随着清脆的点击声,问题迎刃而解。

3.png

一问到底

满脸欣喜的我,笑容很快从脸上褪去,剩下的只有难以言表的寂寞和空虚,总感觉缺了点什么,我不禁的问自己,刚刚做了什么。

问题解决了吗?是的,从结果上来看我们解决了问题,但从过程来看,哦不,我们完全没有解决。

某些时候,借助一些工具亦或者投机取巧解决问题,总感觉不踏实,不知道各位如何,反正我有这种感觉。

尚在学习阶段的我,于是乎决定一探究竟,找到根源之所在,连根拔起。这次,我又一次点开了x32dbg,与前几分钟不同的是,我多了几分平静,多了几分祥和。

或许有足够耐心的你,看着文笔尚不算太好,甚至意义不明的“技术文章”,至此仍然没看到问题的说明,感到了不耐烦。客官先别着急,且听我细细道来——这次问题的触发归根到底是原程序的重定位表没有被写到脱壳后程序的重定位表中来才使得涉及到内存地址的变量发生了错误。

让我们言归正传,再一次定位到异常触发的地方——那个赋值语句。既然脱壳后程序的内存地址没有改变,就侧面证明了加了壳的程序中,这个地址是由一段代码更改而不是根据加壳程序的重定位表更改的。也就是说upx壳他模仿了Window系统根据重定位表改写地址的方法,通过自己储存原程序重定位表,再用自己代码改写。

尽管用了一段不算太长也不算太短的文字来描述了一下整个推理过程,但机智的我仅用了一瞬间就已经想到这些东西(自夸)。同时我又迅速的记住了发生错的代码的rva(其实是复制),然后打开脱壳前的程序,定位到了发生错误的地方,并对这个地址打下了硬件写断点:

4.png

显然,此时的代码还没被upx解压,但我们没有关系,直接来到对应的内存地址并打下了硬件写断点,在几次F9后,我们来到了一个改写这个地方的代码:

5.png

excellent!是循环!它出现了!或许在大家眼里,它只是一个微不足道的循环体,但我却看到了胜利的曙光。这么大的重定位表,并且要对它操作,有循环基本是八九不离十的。当执行到红框语句,对应地址就被更改了。随后在一些微小的分析下,我梳理出了如下过程:

  1. edi指向一个记有偏移量的表,每次循环根据情况取1个或2个字节,直到遇到0字节。
7.png
  1. ebx对上一步结果进行累加,ebx最初值为第一个区段的内存虚拟地址减去4
66.png

3.ebx累加的结果其实就是需要变化的地址的地址,也就是重定位表结构中的VA和offset低位,以及基址的相加(不熟悉的学友萌可以去看看重定位表的结构,我也看了好多遍)。

typedef struct _MyReloadtion {
    DWORD virtualAddress;
    DWORD sizeOfBlock;
    vector<WORD> typeOffset;  //高4位表类型,一般都是3000  低12位表示偏移量
//所以这里ebx实际上就是 ebx = virtualAddress + typeOffset低12位
}MyReloadtion, *pMyReloadtion;

所以我们只要把ebx的结果分离出来,符合重定位表的结构,最后再写进我们脱壳程序的重定位表中,便可大功告成。

头皮发麻

既然我们都知道怎么做了,剩下所面临的就是解决方法的问题。或许我们可以选择hook,把循环里每一个ebx值记录下来,经过变化就可以获取到重定位表。

而作为老实人的我,由于并不知道怎么hook这种没有在Call里面的代码,所以选择了第二种令人头皮发麻的方法——模拟PE加载到内存中,获取第一区块的虚拟地址,再把位移表提取出来,通过模拟上述的步骤,来获取重定位表。

这对于尚在襁褓之中的我来说无疑是具有十分的挑战性的,可我都分析到这个地步了,岂能惹急你怂。此时我心中暗暗下了个毒誓,写不出来王x蛋。

就这样,我开始了漫长的C++之旅。

胜利之光

又一个阳光明媚的下午,叶儿在空中飞舞,蝶儿在花中跳舞,而我的头发在空中飘落。

不得不说,打代码是令人烦躁的,要用一成不变的言语来表示我千变万化高超的思维,这简直就是侮辱我的灵魂(开个玩笑)。为什么脑袋一团混沌,为什么情绪一向暴躁,很大的原因可能是我们解决问题的时候没有分步看待并解决。

以繁化简,让复杂的问题分成几个简单的问题。而我在这里就分成以下几个步骤:

  1. 提取位移表
  2. 模拟系统将PE文件载入内存。
  3. 模拟汇编中的循环,算出重定位表
  4. 将新的重定位表加到脱壳的程序里

当我理清了四个方向并逐个问题加以百度辅助解决后,心态就有了明显的恢复,而脸上也露出了久违的猥琐的笑容。

废话说完了,接下来看看三个步骤的实施过程:

  1. 提取位移表:
    提取位移表很简单,在x32dbg中,用文章之前的方法,定位到循环块,找到edi指向的地址,右键提取,保存成bin文件即可。


    8.png
  2. 模拟系统将PE文件载入内存并获取第一个节区的内存地址:
    整体思路:
    2.1 通过读取文件来获取NT头中FileHeader的区块数量属性以及OptionHeader的PE头大小属性,OptionHeader大小属性,内存中节区对齐量属性。
    2.2 将映像大小根据对齐量对齐后,载入整个PE头。
    2.3 通过FileHeader大小,Signature大小,OptionHeader大小相加,最后得出区块表的开始地址。
    2.4 遍历区块表,加载对应的区块并记录第一个节区内存地址。


DWORD getReloadBase() {
    //1.获取FileHeader和OptionHeader的一些关键变量
    HANDLE hfile = CreateFileA(targetName, GENERIC_READ, FILE_SHARE_READ, NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL);
    LPDWORD receiveSize = NULL;
    if (hfile == INVALID_HANDLE_VALUE || GetLastError() == ERROR_FILE_NOT_FOUND)
    {
        std::cout << "找不到目标文件" << GetLastError() << std::endl;
        return NULL;
    }
    // 读取dos头
    IMAGE_DOS_HEADER dosHeader;
    DWORD dosHeaderSize = sizeof(dosHeader);
    BOOL dosReadResult = ReadFile(hfile, &dosHeader, dosHeaderSize, receiveSize, NULL);
    if (!dosReadResult)
    {
        std::cout << "读取dos头错误" << GetLastError() << std::endl;
        return NULL;
    }
    // 读取NT头
    IMAGE_NT_HEADERS32 ntHeader;
    DWORD pointerResult = SetFilePointer(hfile, dosHeader.e_lfanew, NULL, FILE_BEGIN);
    if (pointerResult == INVALID_SET_FILE_POINTER)
    {
        std::cout << "设置读取指针为NT头时错误" << GetLastError() << std::endl;
        return NULL;
    }
    BOOL ntHeaderResult = ReadFile(hfile, &ntHeader, sizeof(ntHeader), receiveSize, NULL);
    if (!dosReadResult)
    {
        std::cout << "读取NT头错误" << GetLastError() << std::endl;
        return NULL;
    }
    WORD peHeaderSize = ntHeader.OptionalHeader.SizeOfHeaders;
    WORD setctionNums = ntHeader.FileHeader.NumberOfSections;
    DWORD imageSize = ntHeader.OptionalHeader.SizeOfImage;
    DWORD sectionAlign = ntHeader.OptionalHeader.SectionAlignment;

    //2. 对齐镜像并载入PE头
    int mImageSize = alignSize(imageSize, sectionAlign);
    mImageBase = new char[mImageSize];
    memset(mImageBase, 0, mImageSize);
    SetFilePointer(hfile, 0, NULL, FILE_BEGIN);
    ReadFile(hfile, mImageBase, peHeaderSize, receiveSize, NULL); //将文件头写入

    //3. 计算并获取区块表起始地址
    PIMAGE_NT_HEADERS mpNtheader = (PIMAGE_NT_HEADERS)((DWORD)mImageBase + dosHeader.e_lfanew);
    int mNtHeadersSize = sizeof(ntHeader.FileHeader) + sizeof(ntHeader.Signature) + ntHeader.FileHeader.SizeOfOptionalHeader;

    PIMAGE_SECTION_HEADER mpSectionHeader = (PIMAGE_SECTION_HEADER)((DWORD)mpNtheader + mNtHeadersSize);

    DWORD keyBaseAddress = NULL;

    //4. 遍历区块表加载区块
    for (int index = 0; index < setctionNums; ++index)
    {
        DWORD va = mpSectionHeader->VirtualAddress;
        if (index == 0)
        {
            keyBaseAddress = va;
        }
        DWORD rawSize = mpSectionHeader->SizeOfRawData;
        DWORD vaSize = mpSectionHeader->Misc.VirtualSize;
        DWORD rawOffset = mpSectionHeader->PointerToRawData;

        if (rawSize == 0)
        {
            continue;
        }
        else
        {
            SetFilePointer(hfile, rawOffset, NULL, FILE_BEGIN);
            ReadFile(hfile, &mImageBase[va], rawSize, receiveSize, NULL);
        }
        mpSectionHeader++;
    }

    keyBaseAddress -= 4;
    CloseHandle(hfile);
    return keyBaseAddress;
}

  1. 模拟汇编中的算法得出重定位表
    整体思路:
    3.1 从位移表拿取一个字节,若大于EF取后两个字节。
    3.2 将拿取到的字节与第一个节区内存地址-4相加。
    3.3 通过一些位运算拿到重定位表中的变量。
void buildReloadtionTable(DWORD baseAddress, char* pRelateTable) {
    //1. 位移+基值,变化后拿到offset
    vector<MyReloadtion> reloadtionTable;
    MyReloadtion reloadtion;

    int index = 0;
    int size = 0;
    // 记录上一个计算出来的重定位表项的虚拟内存地址
    DWORD lastVirtualAddress = NULL;
    //为第一个区块内存地址-4
    DWORD pReload = baseAddress;
    while (true)
    {
        //1.拿取位移表一个字节
        WORD relate = (BYTE)*pRelateTable;
        pRelateTable++;
        if (relate == 0)
        {
            reloadtion.sizeOfBlock = calSizeofBlock(size);
            reloadtionTable.push_back(reloadtion);
            break;
        }
        //2. 判断拿到的字节是否大于EF
        if (relate > 0xEF)
        {
            relate = *pRelateTable;
            BYTE hightRelate = *(pRelateTable + 1);
            BYTE lowRelate = relate;
            relate = ((hightRelate << 8) | lowRelate);
            pRelateTable += 2;
        }
        pReload += relate;

        //3. 位运算获取offset
        DWORD virtualAddress = pReload & 0xF000;
        WORD typeOffset = pReload & 0xFFF | 0x3000;

        if (lastVirtualAddress == NULL)
        {
            reloadtion = MyReloadtion();
            reloadtion.virtualAddress = virtualAddress;
        }
        else if(lastVirtualAddress != virtualAddress)
        {
            reloadtion.sizeOfBlock = calSizeofBlock(size);
            reloadtionTable.push_back(reloadtion);

            size = 0;
            reloadtion = MyReloadtion();
            reloadtion.virtualAddress = virtualAddress;
        }
        reloadtion.typeOffset.push_back(typeOffset);
        size++;
        lastVirtualAddress = virtualAddress;
    }
    //保存到文件
    saveToFile(reloadtionTable);
}
  1. 将新的重定位表加到脱壳的程序里:
    整体思路:
    4.1 为程序添加一个新的区块(使用工具如PEStudy)
    4.2 将重定位表复制过去(HEX WORKSHOP)
    4.3 修改PE文件的重定位表指向(LordPE)
9.png
9.1.png
10.png

遗憾收场

那一天显得特别宁静,我如往常一样坐在那里。“终于做出来了...”我轻轻的叹了口气,神态略显轻松,滑动着鼠标的滚轮。看着眼前快速滑动的代码行,心中百感交集。想想当初零行的代码到现在上百行,对于刚入门WIN32以及C++来说确实是不容易。

再用了几次写的代码修复程序后,心中却开始感到了不满。“为什么我每次都得自己找位移表,为什么我每次都得用工具新建区块,为什么每次都要我修改重定位表的rva,为什么我的代码不能一次实现呢?”

带着这个遗憾,我写下了这篇文章,不为别的,只为和大家分享。

那段汇编的循环代码

31 C0 8A 07 47 09 C0 74 22 3C EF 77 11 01 C3 8B 03 86 C4 C1 C0 10 86 C4 01 F0 89 03 EB E2 24 0F C1 E0 10 66 8B 07 83 C7 02 EB E2

大家如果想探索文章提到的upx还原重定位表的部分,可以直接在调试器中用上面数据搜索直接定位到相关代码。

关于代码使用

将exe放到加了upx壳的程序的目录下,将提取出来的位移表命名为rva.bin,加壳程序命名为target.exe,成功运行后,会生成一个叫result.bin的文件,这个就是重定位表。
本程序并没有做多版本的window测试,也没有做upx多版本测试,目前只在自家的win10下测试并通过,使用的upx版本为3.96w。

11.png

结语

这篇文章废话较多,作为技术文来说或许是不及格的。其实一直都想用一种叙事的手法来写,这可能是新的尝试呢,所以希望各位学友不嫌烦,能较为有趣的看完。

关于刚刚提到的遗憾,笔者也会着手尝试,让一切自动起来。

附件

https://share.weiyun.com/wTws5RD3

©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 213,616评论 6 492
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 91,020评论 3 387
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 159,078评论 0 349
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 57,040评论 1 285
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 66,154评论 6 385
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 50,265评论 1 292
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,298评论 3 412
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 38,072评论 0 268
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,491评论 1 306
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,795评论 2 328
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,970评论 1 341
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,654评论 4 337
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,272评论 3 318
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,985评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,223评论 1 267
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,815评论 2 365
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,852评论 2 351