首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 软件逆向
    3. 发新帖
[求助]求助这个恶意样本UPX壳怎么脱掉
发表于: 2022-6-13 17:34 6861

[求助]求助这个恶意样本UPX壳怎么脱掉

mb_lyfxqasb 活跃值
2022-6-13 17:34
6861

样本

文件: pty
MD5: 3AF1D4A4C6B3FDA7D10CC8441889E204
SHA1: 6B955475B687A8E00FE941FB1719A841FB44366A
CRC32: 68DE3A45

 

该文件为一个32位的ELF文件,readelf后区段数量异常。
可以确定这个壳是UPX但动态调了半天,没找到关键点求助。
UPX的特征基本没了,ELF特征中,区段只有两个,e_shoff与e_shnum两个字段个数为0。
运行后CPU占用高,无法结束,运行请在虚拟机环境下进行。


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

上传的附件:
  • pty (42.40kb,10次下载)
收藏
免费 2
支持
分享
最新回复 (6)
pureGavin
雪    币: 14484
活跃值: (17483)
能力值: ( LV12,RANK:290 )
在线值:
发帖
回帖
粉丝
私信
2
你用UPX软件解压尝试一下是否能解开
2022-6-13 18:06
0
mb_lyfxqasb
雪    币: 0
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
私信
3
pureGavin 你用UPX软件解压尝试一下是否能解开
UPX -d 解不了
2022-6-13 19:10
0
Willarcap
雪    币: 10308
活跃值: (4510)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
你自己找个程序加个壳,对比样本,一般来说壳的关键位置可能被修改了,比如 UPX0 改成 xxx
2022-6-13 19:52
0
mb_lyfxqasb
雪    币: 0
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
私信
5
Willarcap 你自己找个程序加个壳,对比样本,一般来说壳的关键位置可能被修改了,比如 UPX0 改成 xxx
好的还是慢慢调吧
2022-6-14 09:01
0
户大
雪    币: 2165
活跃值: (4155)
能力值: ( LV6,RANK:85 )
在线值:
发帖
回帖
粉丝
私信
6
上面两位大佬说的可以吗?也可以试试我发的hutrace或者hzytrace(hzytrace文章里就有一个抹去upx标识的elf例子),根据trace结果定位oep再dump下来分析~,直接看trace结果不脱壳也能获取行为信息其实
2022-6-14 18:57
1
厉害了我的谁
雪    币: 6680
活跃值: (4123)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7

upx -d 解压的。

上传的附件:
2022-6-27 19:57
1
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//