-
-
[原创]PEBundle+UPX的还原修复
-
发表于: 2013-7-11 00:23
-
【文章标题】:PEBundle+UPX的还原修复
【文章作者】: hulucc
【软件】: 咪兔象棋助手
【下载地址】: Me2wg.rar
PEBundle已经是个很老很老的壳了,论坛里随便来个人应该都能轻易搞定,所以不会有人去写这种壳的文章吧?当然对于我这种菜B来说这个壳也可以搞很久了,所以有必要总结一下。
在网上或者看雪搜搜PEBundle的破文会发现大多数都是F8F8然后F9,接着到OEP了,然后就没有然后了。有时会不那么顺利,有ImportREC修复的时候有2个指针无效,导致程序修复完不能运行。再不顺利点就程序正常运行了,但是用上一段时间发现脱壳后的程序有功能上的缺失。
这次修复对象是咪兔象棋助手,PEBundle+UPX的壳,目标是完全还原成加壳前的状态。
让我们先来看看区段吧。
区段略多,除去自己的PE头还有8个。这些区段都是做什么的呢?想要自己分析的话可以去下个PEBundle,然后写个小demo,用高级捆绑方式(运行时不释放捆绑文件到磁盘)。这里只说结论。
PEBundle在高级捆绑模式下,会直接把捆绑文件的区段添加到主EXE后面,比如一个dll,然后在最后再加上一个pebundle段来存放壳代码。
进一步得说,PEBundle在这种模式下连压缩壳都是算不上的,你会发现文件并没有被压缩,只是被放在了一起而已。所以对于这个壳,没有必要跑到所有为OEP,直接在EP就可以dump了。
再来看看PEBundle的壳代码
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
