首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 看雪社区
  2. 软件逆向
    3. 发新帖
[求助]求助这个恶意样本UPX壳怎么脱掉
2022-6-13 17:34 6160

[求助]求助这个恶意样本UPX壳怎么脱掉

mb_lyfxqasb 活跃值
2022-6-13 17:34
6160

样本

文件: pty
MD5: 3AF1D4A4C6B3FDA7D10CC8441889E204
SHA1: 6B955475B687A8E00FE941FB1719A841FB44366A
CRC32: 68DE3A45

 

该文件为一个32位的ELF文件,readelf后区段数量异常。
可以确定这个壳是UPX但动态调了半天,没找到关键点求助。
UPX的特征基本没了,ELF特征中,区段只有两个,e_shoff与e_shnum两个字段个数为0。
运行后CPU占用高,无法结束,运行请在虚拟机环境下进行。


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

上传的附件:
  • pty (42.40kb,9次下载)
收藏
点赞2
打赏
分享
最新回复 (6)
pureGavin
雪    币: 12040
活跃值: (15364)
能力值: ( LV12,RANK:240 )
在线值:
发帖
回帖
粉丝
私信
pureGavin 2 2022-6-13 18:06
2
0
你用UPX软件解压尝试一下是否能解开
mb_lyfxqasb
雪    币: 0
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
私信
mb_lyfxqasb 2022-6-13 19:10
3
0
pureGavin 你用UPX软件解压尝试一下是否能解开
UPX -d 解不了
Willarcap
雪    币: 9644
活跃值: (3805)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
Willarcap 2022-6-13 19:52
4
0
你自己找个程序加个壳,对比样本,一般来说壳的关键位置可能被修改了,比如 UPX0 改成 xxx
mb_lyfxqasb
雪    币: 0
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
私信
mb_lyfxqasb 2022-6-14 09:01
5
0
Willarcap 你自己找个程序加个壳,对比样本,一般来说壳的关键位置可能被修改了,比如 UPX0 改成 xxx
好的还是慢慢调吧
户大
雪    币: 2165
活跃值: (4010)
能力值: ( LV6,RANK:85 )
在线值:
发帖
回帖
粉丝
私信
户大 1 2022-6-14 18:57
6
1
上面两位大佬说的可以吗?也可以试试我发的hutrace或者hzytrace(hzytrace文章里就有一个抹去upx标识的elf例子),根据trace结果定位oep再dump下来分析~,直接看trace结果不脱壳也能获取行为信息其实
厉害了我的谁
雪    币: 6355
活跃值: (3553)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
厉害了我的谁 2022-6-27 19:57
7
1

upx -d 解压的。

上传的附件:
游客
登录 | 注册 方可回帖
 回帖  表情 雪币赚取及消费
高级回复
返回