[求助]请教一个upx壳的问题-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[求助]请教一个upx壳的问题

发表于: 2014-12-18 16:31 8699

[求助]请教一个upx壳的问题

zxdaemon

2014-12-18 16:31

8699

今天想学习调试某一个软件
查壳：upx 3.08

先直接用upxshell直接解压，顺利解压，但运行报错“应用程序正常初始化失败0xc000005”

那就手动dump，修复了附加数据，运行还是报错“应用程序正常初始化失败0xc000005”

对脱壳出来的程序调试了一下，发现在调用kernel32.ResumeThread时候出错，是因为程序的自校验吗（该程序有一堆自校验）？不对，应该还没起来。是否可以提示点思路

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・2

免费・0

支持

最新回复 (17)
acqqer 雪币： 123 活跃值： (144) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 119 粉丝 8 关注私信	acqqer 1 2 楼求个软件样本 2014-12-18 18:08 0
option 雪币： 8185 活跃值： (2681) 能力值： ( LV2，RANK：10 ) 在线值：发帖 39 回帖 713 粉丝 1 关注私信	option 3 楼以前碰到过，经fly神提示，输入库名字有点问题。 2014-12-18 18:42 0
zxdaemon 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 16 粉丝 0 关注私信	zxdaemon 4 楼 “用LordPE打开其输入表，Kill掉一个KERNEL32.DLL” 是这么处理吗？这样岂不是没法定位这个dll文件了，尝试也没成功上传样本，希望不会违规上传的附件： sample.part1.rar （1.39MB，21次下载） sample.part2.rar （1.39MB，12次下载） sample.part3.rar （1.10MB，20次下载） 2014-12-22 09:38 0
zxdaemon 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 16 粉丝 0 关注私信	zxdaemon 5 楼今天认真看了一下应该还是自校验的问题修复IAT后还要认真单步一下代码 2014-12-22 17:32 0
option 雪币： 8185 活跃值： (2681) 能力值： ( LV2，RANK：10 ) 在线值：发帖 39 回帖 713 粉丝 1 关注私信	option 6 楼用upx3.8.0.0 直接upx -d NetPiao.exe，你测试下上传的附件： NetPiao.part1.rar （2.00MB，5次下载） NetPiao.part2.rar （1.88MB，5次下载） 2014-12-23 08:14 0
zxdaemon 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 16 粉丝 0 关注私信	zxdaemon 7 楼我这里测试结果相同，需要修复一下iat 2014-12-23 08:40 0
DimRacker 雪币： 264 活跃值： (119) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 35 粉丝 0 关注私信	DimRacker 1 8 楼巧了，我也在看这个NetPiao.exe，带着壳看了一下，程序会用CreateProcess创建一个挂起状态的子进程，然后用ZwUnmapViewOfSection卸载这个空间的数据，再用 VirtualAllocEx重新分配空间，然后WriteProcessMemory写入代码，最后用ResumeThread让子进程恢复运行，貌似叫做傀儡进程吧。脱出来的文件在ResumeThread的时候会出错，还得修复某些地方。楼主方便的话PM个联系方式，咱们一起研究。 2014-12-23 22:54 0
zxdaemon 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 16 粉丝 0 关注私信	zxdaemon 9 楼昨天脱壳调试了一下，想办法绕过了一些校验，想把傀儡进程dump出来，可惜没成功... 补充一下：dump错了，现在可以了 2014-12-24 08:52 0
zxdaemon 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 16 粉丝 0 关注私信	zxdaemon 10 楼上传今天最新版（2328）的程序dump，可以试试debug 上传的附件： NetPiao.part1.rar （2.00MB，5次下载） NetPiao.part2.rar （1.86MB，5次下载） 2014-12-24 14:05 0
reddiamond 雪币： 396 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 21 粉丝 0 关注私信	reddiamond 11 楼这个问题在网友的提示下我解决了，我先看看你们的版本，然后再说解决方法。 2014-12-24 17:01 0
reddiamond 雪币： 396 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 21 粉丝 0 关注私信	reddiamond 12 楼用LoadPe，部分转存新的进程，可以解决这个问题方法：当跟踪到ResumeThread让子进程恢复运行时，停在调用处，这个程序中是： 0040275A FF15 3C104100 call dword ptr ds:[0x41103C] ; kernel32.ResumeThread 这一行。这时堆栈中有进程的信息： 0012E818 000000A8 0012E81C 000000A8 \hThread = 000000A8 (window) 0012E820 00000001 0012E824 009F0000 0012E828 00419120 netpiao.00419120 0012E82C 00400000 netpiao.00400000 0012E830 00000004 0012E834 009F0000 0012E838 0012EC00 0012E83C 000000A0 0012E840 000000A8 0012E844 00000208 ;这是新进程的ID，不懂的去看下进程结构体的资料， 0012E848 000003E4 LoadPE脱壳进程208 选择部分转存，地址当然是00400000，大小003E9000。修复下区段，对齐下块，OK. 刚才测试成功了。当然也可以区域转存。其他的你懂的，哈哈。 2014-12-24 17:43 0
reddiamond 雪币： 396 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 21 粉丝 0 关注私信	reddiamond 13 楼看来你跟得跟我一样辛苦，希望就在绝望中，这个壳就跟到kernel32.ResumeThread死，也是从kernel32.ResumeThread生。 2014-12-24 17:47 0
zxdaemon 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 16 粉丝 0 关注私信	zxdaemon 14 楼我研究的没有你们深入，带壳跑到ResumeThread代码都是乱的，所以脱了壳dump，所以要绕过一些校验，过程有点傻... 2014-12-25 08:28 0
zxdaemon 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 16 粉丝 0 关注私信	zxdaemon 15 楼 [QUOTE=reddiamond;1340036]用LoadPe，部分转存新的进程，可以解决这个问题方法：当跟踪到ResumeThread让子进程恢复运行时，停在调用处，这个程序中是： 0040275A FF15 3C104100 call dword ptr ds:[0x41103C] ; kernel32....[/QUOTE] 最新的2328版本，dump size变成3F0000啦！ 2014-12-25 08:30 0
reddiamond 雪币： 396 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 21 粉丝 0 关注私信	reddiamond 16 楼是的，你就是那边的楼主吧 2014-12-25 09:34 0
zxdaemon 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 16 粉丝 0 关注私信	zxdaemon 17 楼请问带壳跑的话怎么确定dump size=3e9000的？ 2014-12-26 14:17 0
reddiamond 雪币： 396 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 21 粉丝 0 关注私信	reddiamond 18 楼一个是在VirtualAllocEx中在，另一处是WriteProcessMemory，还有是就通过LordPE的区域转存可以确认 2014-12-28 12:19 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

zxdaemon

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (17)
acqqer 雪币： 123 活跃值： (144) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 119 粉丝 8 关注私信	acqqer 1 2 楼求个软件样本 2014-12-18 18:08 0
option 雪币： 8185 活跃值： (2681) 能力值： ( LV2，RANK：10 ) 在线值：发帖 39 回帖 713 粉丝 1 关注私信	option 3 楼以前碰到过，经fly神提示，输入库名字有点问题。 2014-12-18 18:42 0
zxdaemon 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 16 粉丝 0 关注私信	zxdaemon 4 楼 “用LordPE打开其输入表，Kill掉一个KERNEL32.DLL” 是这么处理吗？这样岂不是没法定位这个dll文件了，尝试也没成功上传样本，希望不会违规上传的附件： sample.part1.rar （1.39MB，21次下载） sample.part2.rar （1.39MB，12次下载） sample.part3.rar （1.10MB，20次下载） 2014-12-22 09:38 0
zxdaemon 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 16 粉丝 0 关注私信	zxdaemon 5 楼今天认真看了一下应该还是自校验的问题修复IAT后还要认真单步一下代码 2014-12-22 17:32 0
option 雪币： 8185 活跃值： (2681) 能力值： ( LV2，RANK：10 ) 在线值：发帖 39 回帖 713 粉丝 1 关注私信	option 6 楼用upx3.8.0.0 直接upx -d NetPiao.exe，你测试下上传的附件： NetPiao.part1.rar （2.00MB，5次下载） NetPiao.part2.rar （1.88MB，5次下载） 2014-12-23 08:14 0
zxdaemon 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 16 粉丝 0 关注私信	zxdaemon 7 楼我这里测试结果相同，需要修复一下iat 2014-12-23 08:40 0
DimRacker 雪币： 264 活跃值： (119) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 35 粉丝 0 关注私信	DimRacker 1 8 楼巧了，我也在看这个NetPiao.exe，带着壳看了一下，程序会用CreateProcess创建一个挂起状态的子进程，然后用ZwUnmapViewOfSection卸载这个空间的数据，再用 VirtualAllocEx重新分配空间，然后WriteProcessMemory写入代码，最后用ResumeThread让子进程恢复运行，貌似叫做傀儡进程吧。脱出来的文件在ResumeThread的时候会出错，还得修复某些地方。楼主方便的话PM个联系方式，咱们一起研究。 2014-12-23 22:54 0
zxdaemon 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 16 粉丝 0 关注私信	zxdaemon 9 楼昨天脱壳调试了一下，想办法绕过了一些校验，想把傀儡进程dump出来，可惜没成功... 补充一下：dump错了，现在可以了 2014-12-24 08:52 0
zxdaemon 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 16 粉丝 0 关注私信	zxdaemon 10 楼上传今天最新版（2328）的程序dump，可以试试debug 上传的附件： NetPiao.part1.rar （2.00MB，5次下载） NetPiao.part2.rar （1.86MB，5次下载） 2014-12-24 14:05 0
reddiamond 雪币： 396 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 21 粉丝 0 关注私信	reddiamond 11 楼这个问题在网友的提示下我解决了，我先看看你们的版本，然后再说解决方法。 2014-12-24 17:01 0
reddiamond 雪币： 396 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 21 粉丝 0 关注私信	reddiamond 12 楼用LoadPe，部分转存新的进程，可以解决这个问题方法：当跟踪到ResumeThread让子进程恢复运行时，停在调用处，这个程序中是： 0040275A FF15 3C104100 call dword ptr ds:[0x41103C] ; kernel32.ResumeThread 这一行。这时堆栈中有进程的信息： 0012E818 000000A8 0012E81C 000000A8 \hThread = 000000A8 (window) 0012E820 00000001 0012E824 009F0000 0012E828 00419120 netpiao.00419120 0012E82C 00400000 netpiao.00400000 0012E830 00000004 0012E834 009F0000 0012E838 0012EC00 0012E83C 000000A0 0012E840 000000A8 0012E844 00000208 ;这是新进程的ID，不懂的去看下进程结构体的资料， 0012E848 000003E4 LoadPE脱壳进程208 选择部分转存，地址当然是00400000，大小003E9000。修复下区段，对齐下块，OK. 刚才测试成功了。当然也可以区域转存。其他的你懂的，哈哈。 2014-12-24 17:43 0
reddiamond 雪币： 396 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 21 粉丝 0 关注私信	reddiamond 13 楼看来你跟得跟我一样辛苦，希望就在绝望中，这个壳就跟到kernel32.ResumeThread死，也是从kernel32.ResumeThread生。 2014-12-24 17:47 0
zxdaemon 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 16 粉丝 0 关注私信	zxdaemon 14 楼我研究的没有你们深入，带壳跑到ResumeThread代码都是乱的，所以脱了壳dump，所以要绕过一些校验，过程有点傻... 2014-12-25 08:28 0
zxdaemon 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 16 粉丝 0 关注私信	zxdaemon 15 楼 [QUOTE=reddiamond;1340036]用LoadPe，部分转存新的进程，可以解决这个问题方法：当跟踪到ResumeThread让子进程恢复运行时，停在调用处，这个程序中是： 0040275A FF15 3C104100 call dword ptr ds:[0x41103C] ; kernel32....[/QUOTE] 最新的2328版本，dump size变成3F0000啦！ 2014-12-25 08:30 0
reddiamond 雪币： 396 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 21 粉丝 0 关注私信	reddiamond 16 楼是的，你就是那边的楼主吧 2014-12-25 09:34 0
zxdaemon 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 16 粉丝 0 关注私信	zxdaemon 17 楼请问带壳跑的话怎么确定dump size=3e9000的？ 2014-12-26 14:17 0
reddiamond 雪币： 396 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 21 粉丝 0 关注私信	reddiamond 18 楼一个是在VirtualAllocEx中在，另一处是WriteProcessMemory，还有是就通过LordPE的区域转存可以确认 2014-12-28 12:19 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复