永利娛樂从做题到出题再到做题三部曲-UPX_偃师民声网

永利娛樂

前言

自己最近在做总结,看到之前所做的两个upx加壳的题目,于是总结一下。

基本介绍

upx大家应该都不陌生,在做题时算是比较容易遇到的一种壳,代码开源。

UPX(the Ultimate Packer for eXecutables)是一个免费且开源的可执行程序文件加壳器,支持许多不同操作系统下的可执行文件格式

做题

能用upx -d直接脱壳的就不举例了。

强网杯有一题hide,鹏城杯有一题C++ note都是无法一键脱壳的,关于hide可以参考我之前写的博客(网上也有很多资料)。

具体的解题过程在此不做讲解

出题

Easy

首先我们写一个简单的验证过程,这里就直接拿之前写的题xxTea的代码,源代码在之前的文章里有。

如果因为程序过小而压缩失败可以通过添加如下代码进行解决:

int const dummy_to_make_this_compressible[10000] = {1,2,3};

我在ubuntu下进行压缩,版本3.91如下:

通常我们使用upx main -o main-upx命令进行压缩,对比下压缩前后的文件信息。

压缩前

压缩后

使用strings查看

尝试使用upx -d main-upx脱壳

直接就能脱,这种题目会有,一般只是考查对upx的基本使用,并没有任何难度。

Nornal

往往upx压缩的题目是不会让做题者直接使用工具解压的,因此这里面可以做许多文章,可以通过编译源码,隐藏UPX版本、标志等信息,这里讲一下自己遇到过的隐藏UPX版本、标志进行的混淆。

首先要来了解一下upx加壳之后的ELF文件格式

文件格式参考自这位大神的

具体分析看分析哦,这里只说明如何隐藏标志,防止一键脱壳。

实验过程如下:

upx 3.95版本,mac下进行实验

压缩

能正常解压

修改UPX!标志位

修改前:

修改后:

尝试解压,提示l_info corrupted

此时程序能正常运行

除此之外我还试了下在3.91版本下修改标志位,发现upx -d仍然能直接脱(不明所以)。

手拖upx

如果upx -d命令无法直接脱壳,那么我们可以选择手动脱壳,方法也很简单,不需要复杂的操作。(头铁的我一般直接动态逆)

这里选取的样本为upx 3.95压缩,修改标志位。

运行程序后,查看进程的内存信息

脱壳的基本原理是程序在运行时会将代码释放到内存中,我们只需在运行时将内存中的可执行代码段dump出来即可。

如下命令:

sudo dd if=/proc/$(pidof mac-main-upx)/mem of=main_dump skip=0x400000  bs=1c count=786432

当然使用gdb附加,使用(gdb) dump memory /root/memory.dump 0x400000 0x40c000也是一样的效果。

这时便可以动静结合来进行调试了。
当然如果你有能力修复的,那么把dump的程序修复下也是可以的。

总结

upx防脱的方法还有好多,不过网上公开的源代码并不多,但我觉得没必要在混淆上做太多文章,毕竟混淆只是增加了调试的速度而已,头铁直接刚就是了,哪怕面目全非。

一点总结,有不当之处还请指出。