某IOT蠕蟲病毒分析之UPX脫殼實戰
某IOT蠕蟲病毒分析之UPX脫殼實戰
- IoT
- UPX
- Malware
關於UPX的脫殼文章比較多,基本上都是Windows平臺下的脫殼文章,處理起來比較簡單。FormSec將在本文中分析一款mips下病毒程式使用的upx殼保護手段。
在應急事件處理過程中,提取到病毒樣本為virus.dat,樣本使用了UPX(3.91)殼,對程式進行了壓縮處理。
作者對加殼後的樣本進行了修改,導致使用upx –d命令解壓失敗;雖然解壓失敗了,但是不影響程式正常功能的執行。
分別使用兩個版本的upx程式嘗試脫殼,可以看出最新版的提示資訊比較具體;
提示: upx: virus.dat: CantUnpackException: p_info corrupted
由於最新版的脫殼程式直接報告出是p_info欄位的問題,在網上找了一圈沒有關於針對該問題的解決方案,這裡直接找upx(3.94)最新版的原始碼分析一下,主要簡單分析作者使用的干擾脫殼程式的技術手段,以及如何修復;
- 定位輸出錯誤資訊的位置,直接查詢錯誤資訊字串即可;查詢到兩處分別對應32位和64位版本的檔案頭;
- 簡單分析一下p_lx_elf.cpp -> PackLinuxElf32::unpack 函式的功能;
- p_info結構體的定義如下,12bytes;
- 定位檔案中p_info的位置,可以看出作者將該結構體用0填充後,解壓程式檢測到異常,導致解壓縮失敗;
- 修復upx殼,下圖示記的位置儲存著有效的p_info->p_filesize 欄位(p_filesize 和
p_blocksize相同)
- 修復p_info資訊:
- 脫殼成功;
上面主要記錄了整個處理定位問題,一直到如何修復的方法與思路,希望能夠幫助到對二進位制病毒分析比較感興趣的同學;
後續有機會的話,會出一篇關於該病毒的詳細技術分析報告;歡迎各位斧正;)
相關文章
- upx手動脫殼
- Synaptics 蠕蟲病毒分析APT
- 教你如何寫UPX脫殼指令碼指令碼
- iOS逆向學習之五(加殼?脫殼?)iOS
- 某殼分析+修復(二)
- 磁碟檔案只剩下”_”?你可能中了DeviceManager蠕蟲病毒dev
- 十、iOS逆向之《越獄砸殼/ipa脫殼》iOS
- 破解教程之手脫UPX的DLL
- Od跟進之脫殼(待完善)
- 挖礦殭屍網路蠕蟲病毒kdevtmpfsi處理過程dev
- AI蠕蟲是一種虛構的概念,結合了人工智慧(AI)和計算機病毒蠕蟲(worm)兩個概念AI人工智慧計算機Worm
- WireShark駭客發現之旅(6)—“Lpk.dll劫持+ 飛客蠕蟲”病毒
- 亞信安全釋出防範WannaCry/Wcry蠕蟲勒索病毒緊急通告!
- 高研班直播公開課《JNI函式與脫殼分析實戰》 8月14日下午1點!函式
- 什麼是惡意軟體?病毒,蠕蟲,特洛伊木馬等有害程式
- Python爬蟲實戰之bilibiliPython爬蟲
- 【JS 逆向百例】AST 脫混淆實戰,某 ICP 備案號查詢介面 jsjiami v6 分析JSAST
- 注意!挖礦蠕蟲病毒BuleHero 4.0版來襲 感染電腦超3萬臺
- 20s刪除使用者檔案的incaseformat蠕蟲病毒大爆發!ORM
- “魔獸”玩家小心啦! Lucky蠕蟲病毒利用魔獸地圖大肆傳播地圖
- 天台人滿為患,不如來看下這個Ramnit蠕蟲分析
- Linux Redis自動化挖礦感染蠕蟲分析及建議LinuxRedis
- Python 爬蟲實戰之爬拼多多商品並做資料分析Python爬蟲
- Java 爬蟲專案實戰之爬蟲簡介Java爬蟲
- iOS應用程式的脫殼實現原理淺析iOS
- 最新版某白酒app MT-V定位及帶殼frida-hook實戰APPHook
- 如何避免“範圍蠕變”讓專案脫軌?
- Python爬蟲實戰之叩富網Python爬蟲
- 一次簡單的脫殼
- 勒索病毒Coffee來襲:定向攻擊科研院所,蠕蟲性質隱含爆發風險
- 資料分析 | Numpy實戰(一) - 分析某單車騎行時間
- mysql蠕蟲複製是什麼意思MySql
- Python爬蟲實戰之蘿蔔投研Python爬蟲
- 爬蟲實戰:探索XPath爬蟲技巧之熱榜新聞爬蟲
- 乾貨|微軟遠端桌面服務蠕蟲漏洞(CVE-2019-1182)分析微軟
- Android.Hook框架Cydia篇(脫殼機制作)AndroidHook框架
- 不可掉以輕心|12年前的蠕蟲病毒再次被喚醒,裝置防護安排起來
- python爬蟲之JS逆向某易雲音樂Python爬蟲JS