gcc -static xxx.c -o xxx
upx为压缩壳,将可执行文件进行压缩,当可执行文件过小时加壳会失败,所以此处采用了静态链接的方式进行编译;
附上设计的源码:
#include<stdio.h>
#include<string.h>
#include<windows.h>
int main(){
int a,b,c,d;
int i;
char answer[27];
char seq1[]="are you a student at AEU?";
char seq2[]="enter 1 or 0:";
char seq3[]="welcome to the competition,do you want any hints?";
char seq4[]="do you think the examiner is handsome?";
char seq5[]="you are right!";
char seq6[]="I modified the spack,You should try to remove the pack manually";
char seq7[]="Listen!the flag is ";
char seq00[]=" AEU{eeAmi3_";
char flag[27]="AEU{eeAmi3_6e74rt_handi43}";
char seq02[]="This is the first time for us to hold the competition,Looking forward to your performance\nHere's a present for you:";
char seq03[]="Never give up\nNever lose hope.\nAlways have faith,\nIt allows you to cope.\nTrying times will pass,\nAs they always do.";
char seq04[]="Just have patience,\nYour dreams will come true. \nSo put on a smile,\nYou'll live through your pain.\nKnow it will pass, \nAnd strength you will gain";
for(i=0;i<strlen(seq1);i++){
printf("%c",seq1[i]);
Sleep(90);
}
printf("\n");
puts("enter 1 or 0:");
scanf("%d",&a);
if(a){
for(i=0;i<strlen(seq3);i++){
printf("%c",seq3[i]);
Sleep(90);
}
printf("\n");
puts("enter 1 or 0:");
scanf("%d",&b);
if(b){
for(i=0;i<strlen(seq4);i++){
printf("%c",seq4[i]);
Sleep(90);
}
printf("\n");
puts("enter 1 or 0:");
scanf("%d",&c);
if(c){
for(i=0;i<strlen(seq5);i++){
printf("%c",seq5[i]);
Sleep(90);
}
printf("\n");
for(i=0;i<strlen(seq6);i++){
printf("%c",seq6[i]);
Sleep(90);
}
printf("\n");
for(i=0;i<strlen(seq7);i++){
printf("%c",seq7[i]);
Sleep(200);
}
for(i=0;i<strlen(seq00);i++){
printf("%c",seq00[i]);
Sleep(500);
}
Sleep(6000);
puts(" (*^_^*)");
puts("are you really want the flag?");
for(i=0;i<strlen(seq02);i++){
printf("%c",seq02[i]);
Sleep(80);
}
printf("\n");
for(i=0;i<strlen(seq03);i++){
printf("%c",seq03[i]);
Sleep(80);
}
printf("\n");
for(i=0;i<strlen(seq04);i++){
printf("%c",seq04[i]);
Sleep(80);
}
printf("\n");
for(i=0;i<strlen(seq7);i++){
printf("%c",seq7[i]);
Sleep(200);
}
for(i=0;i<strlen(flag);i++){
printf("%c",flag[i]);
Sleep(900);
}
printf("\n");
puts("now,input your answer:");
scanf("%s",answer);
for(i=0;i<strlen(flag);i++){
if(flag[i]=='e') flag[i]+=1;
else if(flag[i]=='r') flag[i]-=1;
}
if(!strcmp(answer,flag))
puts("right!");
else puts("wrong,Is it really that simple?");
Sleep(6000);
}
else{
puts("You can't solve the problem");
}
}
else{
puts("I can't give you a hint");
}
}
else{
puts("sorry,identity failed");
}
return 0;
}
upx xxx.exe -o xxx.exe
使用upx工具完成加壳,正常情况下upx工具可以顺利完成脱壳
upx -d xxx.exe
但对壳进行修改后该工具便失效。
一,首先认识upx:
upx的作用是压缩程序代码,比如可执行文件中的123456用a代替,还会在程序的开头插入一段代码(用来解压缩);当执行该文件时插入的代码会起作用,将文件解压,但解压只能在内存中完成,采用静态的方式是没办法看到解压后的可执行代码的。所以通用方法是动态调试,一直追踪到解压后的可执行代码,完成转储后也就是脱壳成功。
二、修改upx
本题设计采用修改upx的标志:
修改为00 00 00 00
保存后新的文件在upx -d命令下回出错,此处不演示。设计意图在于让解题人手动脱壳,修改方式比较简单,辅助工具应该也能完成,没有做过实验,不在赘述。
upx放脱壳的几种方法总结:
1.修改区段名,查看一下加壳后的各个段:
修改掉区段的名字,另存后不影响执行,upx-d失败;另外的区段名同理。
2.修改特征码:
pe工具能够识别出文件被加upx是因为加壳后upx自身的特征码被识别,我们可以修改特征码达到使工具识别步出upx的目的;
特征码:60 BE ?? ?? ?? 00 8D BE ?? ?? ?? FF
(留坑)
3.添加区段:
顺便学习了关于PE的相关知识,汇总如下:
可执行文件的代码和数据分类存储在各个块之中,PE头与区段之间是块表(说明了各个块的相关信息)
VA:虚拟地址,即PE文件映射到内存后的地址(虚拟空间 )
RVA:相对虚拟地址,相对于PE载入地址的偏移。 VA=基址+相对虚拟地址
物理地址/文件偏移地址:RAW Offset,某个数据相对于文件头的偏移,
,显示的地址就是物理地址
主要分析块表:块表由IMAGE_SECTION_HEADERS结构体来定义,原形如下:
比较晦涩,结合实例分析:
第一个块表标黑部分,40个字节,
55 50 58 30 00 00 00 00(8个字节):UPX0字符的十六进制,表示块名
00 70 00 00(4个字节):VirtualSize,表示实际上的区块大小(未对齐之前),与区段表中的VSize值刚好对应
00 10 00 00(4个字节):VA,即第一个块在内存中的映射地址,对应Voffset
00 00 00 00 (4个字节):该块在磁盘中占用的空间,对应RSize
00 02 00 00 (4个字节):该块在磁盘中的偏移,对应Roffset
后面连续三段4字节参见结构体定义,最后的80 00 00 E0为块的属性标志,定义了是否可读、可写、可执行。
重点区分下文件偏移地址和相对虚拟地址,两者都是相对于头的偏移;文件偏移地址是块在磁盘中相对于PE头的偏移,RVA则是PE加载映射到内存之后相对于头的偏移。
如图
,如图分析UPX1的RAWoffset为200,即在PE中地址200开始的地方,往后找大小E00,即为UPX1这个段的实际代码。
使用lordPE工具添加一个区段,可以使工具不能识别出upx壳。(留坑待补)
三、解题:
脱壳部分采用ESP定律,此处不演示
进入IDA分析:
对比源码,整体上结构非常简单,反汇编后略微晦涩,只需要能看懂栈的布局就能明白变量之间的关系;
逻辑就是比较str1与str2的值,v30[-95]实际上也是str2,原因如下:
v30为int型,占据4个字节,v30[-95]也就是从v30的地址往前推95*4=380(17Ch)个字节,在栈的布局上来看,v30在栈中的地址是esp+33C,往栈减小的位置推算,33c-17c=1c0,即v30[-95]实际上esp+1c0,对比栈的空间分布,也就是Str2.
其余的变量推算同理。必须要明确的是变量a为int型(占4字节),那么a[i]表示含义是基址加上i个int型的偏移,即4*i个字节。
(32位/64位环境下)
char型数据则占据1字节;double 8字节 ;short 占2字节
#以上参考:
1.从做题到出题再到做题三部曲-UPX - 先知社区 (aliyun.com)
2.《加密解密》