某IOT蠕蟲病毒分析之UPX脫殼實戰
某IOT蠕蟲病毒分析之UPX脫殼實戰
- IoT
- UPX
- Malware
關於UPX的脫殼文章比較多,基本上都是Windows平臺下的脫殼文章,處理起來比較簡單。FormSec將在本文中分析一款mips下病毒程式使用的upx殼保護手段。
在應急事件處理過程中,提取到病毒樣本為virus.dat,樣本使用了UPX(3.91)殼,對程式進行了壓縮處理。
作者對加殼後的樣本進行了修改,導致使用upx –d命令解壓失敗;雖然解壓失敗了,但是不影響程式正常功能的執行。
分別使用兩個版本的upx程式嘗試脫殼,可以看出最新版的提示資訊比較具體;
提示: upx: virus.dat: CantUnpackException: p_info corrupted
由於最新版的脫殼程式直接報告出是p_info欄位的問題,在網上找了一圈沒有關於針對該問題的解決方案,這裡直接找upx(3.94)最新版的原始碼分析一下,主要簡單分析作者使用的干擾脫殼程式的技術手段,以及如何修復;
- 定位輸出錯誤資訊的位置,直接查詢錯誤資訊字串即可;查詢到兩處分別對應32位和64位版本的檔案頭;
- 簡單分析一下p_lx_elf.cpp -> PackLinuxElf32::unpack 函式的功能;
- p_info結構體的定義如下,12bytes;
- 定位檔案中p_info的位置,可以看出作者將該結構體用0填充後,解壓程式檢測到異常,導致解壓縮失敗;
- 修復upx殼,下圖示記的位置儲存著有效的p_info->p_filesize 欄位(p_filesize 和
p_blocksize相同)
- 修復p_info資訊:
- 脫殼成功;
上面主要記錄了整個處理定位問題,一直到如何修復的方法與思路,希望能夠幫助到對二進位制病毒分析比較感興趣的同學;
後續有機會的話,會出一篇關於該病毒的詳細技術分析報告;歡迎各位斧正;)
相關文章
- 教你如何寫UPX脫殼指令碼指令碼
- 一個oracle蠕蟲病毒Oracle
- [原創]Stuxnet蠕蟲(超級工廠病毒)驅動分析UX
- 騰訊安全團隊深入解析wannacry蠕蟲病毒
- 電腦殺蠕蟲病毒的操作方法
- 以殼解殼--SourceRescuer脫殼手記破解分析
- 先分析,再脫殼(一)
- 蠕蟲WannaCry病毒只是勒索軟體猖獗的開始?
- 某殼分析+修復(二)
- iOS逆向學習之五(加殼?脫殼?)iOS
- C32Asm外殼脫殼分析筆記ASM筆記
- 磁碟檔案只剩下”_”?你可能中了DeviceManager蠕蟲病毒dev
- 那些年困擾Linux的蠕蟲、病毒和木馬Linux
- 十、iOS逆向之《越獄砸殼/ipa脫殼》iOS
- EmbedPE 1.13 詳細分析和脫殼
- 破解教程之手脫UPX的DLL
- 嚴防死守把蠕蟲病毒拒絕在系統之外(轉)
- 部份軟體的脫殼(Upx 0.72-1.0x,PC Guard,Telock,PECompact) (4千字)
- 殼的工作原理脫殼
- 分析一個linux下的蠕蟲 (轉)Linux
- 老王舊殼之INT3異常、過期限制和資料附加脫殼分析
- 挖礦殭屍網路蠕蟲病毒kdevtmpfsi處理過程dev
- 壹次脫殼法――Armadillo 雙程式標準殼 快速脫殼
- AI蠕蟲是一種虛構的概念,結合了人工智慧(AI)和計算機病毒蠕蟲(worm)兩個概念AI人工智慧計算機Worm
- 實戰Armadillo V3.60標準加殼方式的脫殼――WinXP的Notepad
- VBExplorer.exe脫殼教程 附脫殼指令碼指令碼
- 對尼姆達蠕蟲的詳細分析 (轉)
- 亞信安全釋出防範WannaCry/Wcry蠕蟲勒索病毒緊急通告!
- 高研班直播公開課《JNI函式與脫殼分析實戰》 8月14日下午1點!函式
- 脫殼----對用Petite2.2加殼的程式進行手動脫殼的一點分析 (5千字)
- 先分析,再脫殼(二) (13千字)
- MySQL Manager 2.8.0.1脫殼破解手記破解分析MySql
- ExeStealth 常用脫殼方法 + ExeStealth V2.72主程式脫殼
- “魔獸”玩家小心啦! Lucky蠕蟲病毒利用魔獸地圖大肆傳播地圖
- 什麼是惡意軟體?病毒,蠕蟲,特洛伊木馬等有害程式
- nSpack v1.3 脫殼之OM指令碼指令碼
- 爬蟲之-某生鮮APP加密引數逆向分析爬蟲APP加密
- 幻影v1.5b3脫殼分析筆記筆記