[原创] [for newbabie] PECompact v2.79 loader分析.By winndy-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[原创] [for newbabie] PECompact v2.79 loader分析.By winndy

2007-10-6 15:56 7245

[原创] [for newbabie] PECompact v2.79 loader分析.By winndy

winndy

2007-10-6 15:56

7245

[for newbabie] PECompact v2.79 loader分析.By winndy

1.WHY？
PECompact是一款压缩壳，要脱很容易，但我的感觉是脱完了，啥感觉都没有，
到达OEP之间，沿途的风景都看不到。勿在浮砂筑高台。于是用IDA详细分析了一下loader。
最好自己打开idb文件取看看，教材不可能那么详细。
分析到这个样子之后，后来我发现居然有PECompact的loader sdk，于是没兴趣分析下去了。
原本还打算做个静态脱壳机的，有时间了也许再对照loader sdk，拿来当编程的例子练手。
这个loader分析我也没参考其他人的分析，后来在论坛搜了一把，发现berglob也有个分析。
我是自己学习才这样分析一遍的。

2. HOW?
2.1

入口处：

SEH handler：0043897C

0043897C-0043899E处的代码将0043899F处的代码为
Mov eax，0F0437701h
并将修改00401016处的代码为：
00401016 - E9 84790300 jmp 0043899F
将流程转到0043899F，然后卸载SHE handler。

然后分配一块内存，并解压loader的代码，解压算法为aplib。分配内存的大小和待解压代码的RVA在
_aP_depack_asm和SEH handler之间，见注释。

aP_depack_asm是根据源码对照识别出来的。

Loader用aplib解压出来后，然后去执行(call edi)，将主程序再用LZMA算法解压出来，并进行一些修复工作
和填充IAT等的工作。最后算出OEP，返回，用 jmp eax，调到OEP。

2.2 解压出来的loader

Loader的代码如下：(call edi ,edi=003C09F0进入)

003C0000的代码部分dump出来之后，也用IDA进行分析，只要将载入偏移量设为003C0000进行了。

loader的主要代码如下：

最后对解压出来得区段设置相应的内存属性：

值得注意的是，后来我PECompact发现有loader SDK，那些函数名都是自己定义的，不是很确切。但在loader SDK中是没有aplib和LZMA的解压部分的。

调用LZMA解压的代码片段为：

循环取_LZMADecode_Section的地址，保存在eax中，然后call eax进行调用。
抽出来的_LZMA_Decode的asm代码我没能与c代码对应起来。

还有比较有意思的一段代码，FixCalls_E8F1_Jmps：
扫描call 32bit，jmp 32bits，因为call和jmp之后的地址是加密了的，需要解密出来。

上面的11F1常数取自：

补上E8F1的代码片段为：FixCalls_E8F1

3.Summary

尽管后来找到loader sdk，但loader SDK却没有aplib和lzma的解压函数，这个PECompact是不是在忽悠纳税人啊！
不过这也是第一次这样分析一款压缩壳，收获颇多。
详细的分析大家还是看idb去。要写静态脱壳机，还需要仔细对照sdk看，还有很多情况要考虑。
高手不要笑啊！

IDB和抽出来的LZMA_Decode_ASM.asm

PECompact v2.79 loader分析.By.winndy.zip

[培训]二进制漏洞攻防（第3期）；满10人开班；模糊测试与工具使用二次开发；网络协议漏洞挖掘；Linux内核漏洞挖掘与利用；AOSP漏洞挖掘与利用；代码审计。

上传的附件：

1.png （12.15kb，250次下载）
2.png （17.06kb，244次下载）
3.png （12.77kb，245次下载）
4.png （10.57kb，245次下载）
5.png （17.77kb，246次下载）
6.png （23.54kb，248次下载）
7.png （4.84kb，241次下载）
8.png （8.94kb，241次下载）
9.png （22.24kb，243次下载）
10.png （2.99kb，243次下载）
11.png （12.29kb，241次下载）
PECompact v2.79 loader分析.By.winndy.zip （244.82kb，84次下载）

收藏・2

点赞・7

打赏

最新回复 (4)
wynney 雪币： 224 活跃值： (147) 能力值： ( LV9，RANK：970 ) 在线值：发帖 65 回帖 1097 粉丝 6 关注私信	wynney 24 2007-10-6 16:05 2 楼 0 老兄最近是不是闷疯了，搞出这么多精华，哈哈
kanxue 雪币： 29414 活跃值： (18625) 能力值： (RANK：350 ) 在线值：发帖 1826 回帖 15212 粉丝 485 关注私信	kanxue 8 2007-10-6 17:04 3 楼 0 感谢分享，winndy国庆还很忙的
vrowang123 雪币： 257 活跃值： (56) 能力值： ( LV5，RANK：60 ) 在线值：发帖 75 回帖 580 粉丝 0 关注私信	vrowang123 1 2007-10-6 17:49 4 楼 0 感谢。不知你们看雪的大牛们平时是做什么方面的？
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 57 回帖 1043 粉丝 11 关注私信	softworm 30 2007-10-6 19:06 5 楼 0 什么壳也架不住这样分析,用变形代码可以抵挡一下
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

winndy

发帖

775

回帖

690

RANK

关注

私信

他的文章

[讨论]文凭验证--假文凭的受害者

[原创]Mac OS X下一软件Voila注册算法分析

[求助]SystemDcu Replacement For Delphi 7 by Avenger[NhT]

[转帖]把IDA反汇编数据以RTF格式复制到剪贴板的插件

[原创] [for newbabie] PECompact v2.79 loader分析.By winndy

关于我们

联系我们

企业服务

看雪公众号

最新回复 (4)
wynney 雪币： 224 活跃值： (147) 能力值： ( LV9，RANK：970 ) 在线值：发帖 65 回帖 1097 粉丝 6 关注私信	wynney 24 2007-10-6 16:05 2 楼 0 老兄最近是不是闷疯了，搞出这么多精华，哈哈
kanxue 雪币： 29414 活跃值： (18625) 能力值： (RANK：350 ) 在线值：发帖 1826 回帖 15212 粉丝 485 关注私信	kanxue 8 2007-10-6 17:04 3 楼 0 感谢分享，winndy国庆还很忙的
vrowang123 雪币： 257 活跃值： (56) 能力值： ( LV5，RANK：60 ) 在线值：发帖 75 回帖 580 粉丝 0 关注私信	vrowang123 1 2007-10-6 17:49 4 楼 0 感谢。不知你们看雪的大牛们平时是做什么方面的？
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 57 回帖 1043 粉丝 11 关注私信	softworm 30 2007-10-6 19:06 5 楼 0 什么壳也架不住这样分析,用变形代码可以抵挡一下
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复