[原创]UPX解压缩算法逆向-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]UPX解压缩算法逆向

发表于: 2009-4-3 17:40 19452

[原创]UPX解压缩算法逆向

徐大力

2009-4-3 17:40

19452

逆解压缩算法之前一直以为需要知道N多数学上的东西  逆了后才知道只要知道基本的逻辑就可以了

初次逆解压缩算法的同学感到最困难的应该是  跟标志位有关的加减法以及条件跳转

这些东西很难跟高级语言联系在一起用高级语言表示特别麻烦我在这个地方也是绕了很大的一个圈子

注：因为水平比较菜所以我所说的逆向只是功能相同逻辑相似  而非指令一模一样

面临失业  没有心情继续分析壳了  很久以前就想逆解压缩算法了  现在也有时间了

仔细看下 UPX的解压缩算法里面最重要的就是两块指令

1:

0040ED1E 01DB          ADD EBX,EBX                               ;EBX * 2
0040ED20 75 07          JNZ SHORT x.0040ED29                   ;检测EBX 是否为0
0040ED22 8B1E          MOV EBX,DWORD PTR DS:[ESI]          ;
0040ED24 83EE FC       SUB ESI,-4                                     ;ESI + 4
0040ED27 11DB          ADC EBX,EBX

0040ED29  ^ 72 ED       JB SHORT x.0040ED18

这块指令的最阴的地方就是SUB ESI, –4    SUB 指令影响CF标志  下面紧跟着就是一个跟标志位有关加法

C语言中要想知道SUB执行后 CF标志为多少必须要把ESI的值送到一个大于4字节的数据中  这里我用了unsigned

__int64 8字节的数据来表示，而这块指令我以getbit函数来表示(也可以用宏或者inline 但是我偏向于函数)

int getbit(unsigned __int64 *pcom_dword, unsigned char **ppsrc)
{
unsigned __int64 temp;

*pcom_dword &= 0xffffffff;
(*pcom_dword) *= 2;
if(!(*pcom_dword & 0xffffffff))
{
      *pcom_dword = *(unsigned int *)(*ppsrc);
      temp = (unsigned int)(*ppsrc);
      temp -= (unsigned int)(-4);//temp就是为了知道 SUB后的CF标志定义的变量
      (*ppsrc) += 4;
      *pcom_dword = ((temp >> 32) & 1) + *pcom_dword + *pcom_dword;
}
return (int)((*pcom_dword >> 32) & 1);
}

几句汇编指令  变成这么大一坨惭愧
=================================================
根据4L高手的提示修改了下
int getbit(unsigned int *pcom_dword, unsigned int **ppsrc)
{
int temp;

temp = ((*pcom_dword)>>31)&1;//得到符号位
(*pcom_dword) <<= 1;
if(0 == (*pcom_dword))
{
*pcom_dword = **ppsrc;
temp = ((*pcom_dword) >> 31) & 1;
(*pcom_dword) <<= 1;
*pcom_dword += ((unsigned int)*ppsrc >= 0xFFFFFFFC ? 0 : 1);
(*ppsrc)++;
}
return temp;
}

最初想得到标志位也是通过32位表示的  方法是后0~30位相加  再把 2个操作数与相加后的和  的第31位相加就
知道CF了后来觉得这样相加实际上就是模拟64位相加  索性用64位表示算了
这里修改成32位简洁了很多是因为加法的2个操作数是一样的  向左移位就可以了

getbit函数改成这样就可以直接替换原来的getbit解压了  果然我的思路过于狭窄
再次膜拜下 4L的高手
=========================================================
2:

0040ED30 01DB          ADD EBX,EBX
0040ED32 75 07          JNZ SHORT x.0040ED3B
0040ED34 8B1E          MOV EBX,DWORD PTR DS:[ESI]
0040ED36 83EE FC       SUB ESI,-4
0040ED39 11DB          ADC EBX,EBX
0040ED3B 11C0          ADC EAX,EAX
0040ED3D 01DB          ADD EBX,EBX
0040ED3F  ^ 73 EF       JNB SHORT x.0040ED30
0040ED41 75 09          JNZ SHORT x.0040ED4C
0040ED43 8B1E          MOV EBX,DWORD PTR DS:[ESI]
0040ED45 83EE FC       SUB ESI,-4
0040ED48 11DB          ADC EBX,EBX
0040ED4A  ^ 73 E4       JNB SHORT x.0040ED30

这块指令没有用函数表示  只是同样是一坨再次惭愧

//EBX 对应com_dword  ESI 对应psrc  EAX对应off

do
{
do
{
      off = off * 2 + getbit(&com_dword, &psrc);
}while(com_dword =com_dword + com_dword, ((com_dword >> 32) & 1) == 0);
if(com_dword & 0xffffffff)
{
      break;
}
com_dword = *(unsigned int *)psrc;
temp = (unsigned int)psrc;
psrc += 4;
temp -= (unsigned int)(-4);
}while(com_dword = com_dword + com_dword + ((temp >> 32) & 1), ((com_dword >> 32) & 1) == 0);

这两块指令弄出来后只剩下基本的逻辑了没什么难度了
逆这个东西的作用就是知道怎么用C语言来表示标志位了再来就是现在瞄下压缩算法就知道从哪里跳出来了不用靠猜的了

UPX的压缩级别不同解压缩算法也是不同的  别指望逆出来的能解压缩所有UPX加过壳的代码

解压缩算法一直是心里的一根刺  本来想好好写写逆向过程中的收获  逆完后发现什么都写不出来只能寥寥几句

附件里x.exe就是UPX加过壳的EXE， upx_re.c里存放的就是根据x.exe逆出来的算法

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

#调试逆向

上传的附件：

upx.rar （17.17kb，154次下载）

收藏・15

免费・7

支持

最新回复 (27) 1 2 ▶
kanxue 雪币： 44229 活跃值： (19960) 能力值： (RANK：350 ) 在线值：发帖 2369 回帖 17027 粉丝 528 关注私信	kanxue 8 2 楼估计会有人联系你了，前段时间还碰到有公司在招人 2009-4-3 17:46 0
徐大力雪币： 179 活跃值： (15) 能力值： ( LV12，RANK：330 ) 在线值：发帖 12 回帖 48 粉丝 2 关注私信	徐大力 8 3 楼外面形势似乎不太好公司里有个强人 2个星期前就投简历了现在还没面试消息一个朋友说 3月份是外企裁员高峰期结果我就赶上了生活还得继续希望这段时间别过得太灰暗。。。 2009-4-3 17:56 0
Loka 雪币： 993 活跃值： (442) 能力值： ( LV12，RANK：403 ) 在线值：发帖 23 回帖 131 粉丝 0 关注私信	Loka 2 4 楼应该不用这么麻烦，用32位足够了。 int getbit(unsigned int pcom_dword, unsigned int ppsrc) { int temp; temp = ((pcom_dword)>>31)&1; (pcom_dword) <<= 1; if(0 != (pcom_dword)) { pcom_dword = ppsrc; temp = ((pcom_dword)>>31)&1; (pcom_dword) <<= 1; pcom_dword += ((unsigned int)ppsrc>=0xFFFFFFFC ? 0 : 1); (unsigned int)ppsrc += 4; } return temp; } 2009-4-3 19:17 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 21 关注私信	笨笨雄 14 5 楼楼主被裁了，让我想起某公司。。。。不过不是外企。。。 2009-4-3 19:30 0
徐大力雪币： 179 活跃值： (15) 能力值： ( LV12，RANK：330 ) 在线值：发帖 12 回帖 48 粉丝 2 关注私信	徐大力 8 6 楼先遥拜下高手我用你的getbit函数解不开死循环一直 = =人品？ 2009-4-3 19:31 0
快雪时晴雪币： 370 活跃值： (15) 能力值： ( LV9，RANK：170 ) 在线值：发帖 34 回帖 2272 粉丝 1 关注私信	快雪时晴 4 7 楼不知道发起一个是否被裁+被裁几次的投票会被踩 2009-4-3 19:42 0
Loka 雪币： 993 活跃值： (442) 能力值： ( LV12，RANK：403 ) 在线值：发帖 23 回帖 131 粉丝 0 关注私信	Loka 2 8 楼 int getbit(unsigned int pcom_dword, unsigned int ppsrc) 我把第二个参数略做了点改动 2009-4-3 19:49 0
徐大力雪币： 179 活跃值： (15) 能力值： ( LV12，RANK：330 ) 在线值：发帖 12 回帖 48 粉丝 2 关注私信	徐大力 8 9 楼晕没注意到这个。。。。 thx 先吃饭过会出去吃烧烤散心 2009-4-3 20:01 0
jjnet 雪币： 101 活跃值： (12) 能力值： ( LV12，RANK：210 ) 在线值：发帖 28 回帖 503 粉丝 0 关注私信	jjnet 5 10 楼病毒公司都裁员么 2009-4-3 20:54 0
TeLeMan 雪币： 109 活跃值： (2158) 能力值： ( LV4，RANK：50 ) 在线值：发帖 14 回帖 131 粉丝 8 关注私信	TeLeMan 1 11 楼 UCL是开源的，为啥还要逆呢？ 2009-4-3 21:23 0
徐大力雪币： 179 活跃值： (15) 能力值： ( LV12，RANK：330 ) 在线值：发帖 12 回帖 48 粉丝 2 关注私信	徐大力 8 12 楼是有源码不过在好几个文件中找解压缩代码是个折磨= = 以前逆另一个壳的时候只剩压缩算法没逆出来后来只是嵌汇编把压缩算法嵌进去做了个静态脱壳机心有不甘现在有时间了就把压缩算法逆了一遍以偿宿愿另外其实一直想做仿真机可惜以前对那些标志位什么的都不会弄逆了这个心里有点底了积累啊积累 2009-4-3 21:52 0
TeLeMan 雪币： 109 活跃值： (2158) 能力值： ( LV4，RANK：50 ) 在线值：发帖 14 回帖 131 粉丝 8 关注私信	TeLeMan 1 13 楼你看的是asm？c的文件很少啊，n2b_d.c,n2d_d.c,n2e_d.c和getbit.h就行了。三个c文件是因为本来就有3种压缩算法。 2009-4-4 09:29 0
徐大力雪币： 179 活跃值： (15) 能力值： ( LV12，RANK：330 ) 在线值：发帖 12 回帖 48 粉丝 2 关注私信	徐大力 8 14 楼怎么我这的源码都是C文件刚刚仔细找了下解压缩源码都在compress*.cpp里面版本不同应该 case M_NRV2B_8: r = ucl_nrv2b_decompress_safe_8(src,src_len,dst,dst_len,NULL); break; case M_NRV2B_LE16: r = ucl_nrv2b_decompress_safe_le16(src,src_len,dst,dst_len,NULL); break; case M_NRV2B_LE32: r = ucl_nrv2b_decompress_safe_le32(src,src_len,dst,dst_len,NULL); break; case M_NRV2D_8: r = ucl_nrv2d_decompress_safe_8(src,src_len,dst,dst_len,NULL); break; case M_NRV2D_LE16: r = ucl_nrv2d_decompress_safe_le16(src,src_len,dst,dst_len,NULL); 2009-4-4 10:06 0
godisagirl 雪币： 110 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 81 粉丝 0 关注私信	godisagirl 15 楼祝你好运楼主不要灰心 2009-4-4 10:48 0
TeLeMan 雪币： 109 活跃值： (2158) 能力值： ( LV4，RANK：50 ) 在线值：发帖 14 回帖 131 粉丝 8 关注私信	TeLeMan 1 16 楼你要看UCL的源码，UPX源码中不包含压缩和解压缩代码。 2009-4-4 15:09 0
徐大力雪币： 179 活跃值： (15) 能力值： ( LV12，RANK：330 ) 在线值：发帖 12 回帖 48 粉丝 2 关注私信	徐大力 8 17 楼多谢提点 2009-4-5 11:28 0
王旭峰雪币： 192 活跃值： (50) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 52 粉丝 0 关注私信	王旭峰 18 楼这么巧我也正在研究它惭愧 2009-4-5 16:58 0
加百力雪币： 2604 活跃值： (64) 能力值： (RANK：510 ) 在线值：发帖 86 回帖 896 粉丝 4 关注私信	加百力 12 19 楼支持楼主。别灰心。机会一定会有的！说不定，下个单位还更好呢！ 2009-4-6 23:37 0
人很老实雪币： 362 活跃值： (25) 能力值： ( LV7，RANK：100 ) 在线值：发帖 6 回帖 83 粉丝 1 关注私信	人很老实 2 20 楼祝君好运 2009-4-7 09:12 0
guobing 雪币： 10051 活跃值： (158) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 402 粉丝 0 关注私信	guobing 21 楼这么牛的人，竟然被裁，我们这小菜，怎么过啊。趁现在在学校还有时间，还多多努力啊 2009-4-7 10:17 0
徐大力雪币： 179 活跃值： (15) 能力值： ( LV12，RANK：330 ) 在线值：发帖 12 回帖 48 粉丝 2 关注私信	徐大力 8 22 楼已在主贴修改 2009-4-7 16:52 0
Xusually 雪币： 200 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 118 粉丝 0 关注私信	Xusually 23 楼高手都被裁，我等小菜怎么过啊 2009-4-8 18:01 0
wynney 雪币： 224 活跃值： (147) 能力值： ( LV9，RANK：970 ) 在线值：发帖 65 回帖 1109 粉丝 7 关注私信	wynney 24 24 楼 LZ可以试试这里的 http://bbs.pediy.com/showthread.php?t=85011 2009-4-12 18:58 0
霹雳狂风雪币： 190 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 15 回帖 92 粉丝 0 关注私信	霹雳狂风 25 楼 IDA F5 2009-4-13 00:25 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

徐大力

发帖

回帖

330

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (27) 1 2 ▶
kanxue 雪币： 44229 活跃值： (19960) 能力值： (RANK：350 ) 在线值：发帖 2369 回帖 17027 粉丝 528 关注私信	kanxue 8 2 楼估计会有人联系你了，前段时间还碰到有公司在招人 2009-4-3 17:46 0
徐大力雪币： 179 活跃值： (15) 能力值： ( LV12，RANK：330 ) 在线值：发帖 12 回帖 48 粉丝 2 关注私信	徐大力 8 3 楼外面形势似乎不太好公司里有个强人 2个星期前就投简历了现在还没面试消息一个朋友说 3月份是外企裁员高峰期结果我就赶上了生活还得继续希望这段时间别过得太灰暗。。。 2009-4-3 17:56 0
Loka 雪币： 993 活跃值： (442) 能力值： ( LV12，RANK：403 ) 在线值：发帖 23 回帖 131 粉丝 0 关注私信	Loka 2 4 楼应该不用这么麻烦，用32位足够了。 int getbit(unsigned int pcom_dword, unsigned int ppsrc) { int temp; temp = ((pcom_dword)>>31)&1; (pcom_dword) <<= 1; if(0 != (pcom_dword)) { pcom_dword = ppsrc; temp = ((pcom_dword)>>31)&1; (pcom_dword) <<= 1; pcom_dword += ((unsigned int)ppsrc>=0xFFFFFFFC ? 0 : 1); (unsigned int)ppsrc += 4; } return temp; } 2009-4-3 19:17 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 21 关注私信	笨笨雄 14 5 楼楼主被裁了，让我想起某公司。。。。不过不是外企。。。 2009-4-3 19:30 0
徐大力雪币： 179 活跃值： (15) 能力值： ( LV12，RANK：330 ) 在线值：发帖 12 回帖 48 粉丝 2 关注私信	徐大力 8 6 楼先遥拜下高手我用你的getbit函数解不开死循环一直 = =人品？ 2009-4-3 19:31 0
快雪时晴雪币： 370 活跃值： (15) 能力值： ( LV9，RANK：170 ) 在线值：发帖 34 回帖 2272 粉丝 1 关注私信	快雪时晴 4 7 楼不知道发起一个是否被裁+被裁几次的投票会被踩 2009-4-3 19:42 0
Loka 雪币： 993 活跃值： (442) 能力值： ( LV12，RANK：403 ) 在线值：发帖 23 回帖 131 粉丝 0 关注私信	Loka 2 8 楼 int getbit(unsigned int pcom_dword, unsigned int ppsrc) 我把第二个参数略做了点改动 2009-4-3 19:49 0
徐大力雪币： 179 活跃值： (15) 能力值： ( LV12，RANK：330 ) 在线值：发帖 12 回帖 48 粉丝 2 关注私信	徐大力 8 9 楼晕没注意到这个。。。。 thx 先吃饭过会出去吃烧烤散心 2009-4-3 20:01 0
jjnet 雪币： 101 活跃值： (12) 能力值： ( LV12，RANK：210 ) 在线值：发帖 28 回帖 503 粉丝 0 关注私信	jjnet 5 10 楼病毒公司都裁员么 2009-4-3 20:54 0
TeLeMan 雪币： 109 活跃值： (2158) 能力值： ( LV4，RANK：50 ) 在线值：发帖 14 回帖 131 粉丝 8 关注私信	TeLeMan 1 11 楼 UCL是开源的，为啥还要逆呢？ 2009-4-3 21:23 0
徐大力雪币： 179 活跃值： (15) 能力值： ( LV12，RANK：330 ) 在线值：发帖 12 回帖 48 粉丝 2 关注私信	徐大力 8 12 楼是有源码不过在好几个文件中找解压缩代码是个折磨= = 以前逆另一个壳的时候只剩压缩算法没逆出来后来只是嵌汇编把压缩算法嵌进去做了个静态脱壳机心有不甘现在有时间了就把压缩算法逆了一遍以偿宿愿另外其实一直想做仿真机可惜以前对那些标志位什么的都不会弄逆了这个心里有点底了积累啊积累 2009-4-3 21:52 0
TeLeMan 雪币： 109 活跃值： (2158) 能力值： ( LV4，RANK：50 ) 在线值：发帖 14 回帖 131 粉丝 8 关注私信	TeLeMan 1 13 楼你看的是asm？c的文件很少啊，n2b_d.c,n2d_d.c,n2e_d.c和getbit.h就行了。三个c文件是因为本来就有3种压缩算法。 2009-4-4 09:29 0
徐大力雪币： 179 活跃值： (15) 能力值： ( LV12，RANK：330 ) 在线值：发帖 12 回帖 48 粉丝 2 关注私信	徐大力 8 14 楼怎么我这的源码都是C文件刚刚仔细找了下解压缩源码都在compress*.cpp里面版本不同应该 case M_NRV2B_8: r = ucl_nrv2b_decompress_safe_8(src,src_len,dst,dst_len,NULL); break; case M_NRV2B_LE16: r = ucl_nrv2b_decompress_safe_le16(src,src_len,dst,dst_len,NULL); break; case M_NRV2B_LE32: r = ucl_nrv2b_decompress_safe_le32(src,src_len,dst,dst_len,NULL); break; case M_NRV2D_8: r = ucl_nrv2d_decompress_safe_8(src,src_len,dst,dst_len,NULL); break; case M_NRV2D_LE16: r = ucl_nrv2d_decompress_safe_le16(src,src_len,dst,dst_len,NULL); 2009-4-4 10:06 0
godisagirl 雪币： 110 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 81 粉丝 0 关注私信	godisagirl 15 楼祝你好运楼主不要灰心 2009-4-4 10:48 0
TeLeMan 雪币： 109 活跃值： (2158) 能力值： ( LV4，RANK：50 ) 在线值：发帖 14 回帖 131 粉丝 8 关注私信	TeLeMan 1 16 楼你要看UCL的源码，UPX源码中不包含压缩和解压缩代码。 2009-4-4 15:09 0
徐大力雪币： 179 活跃值： (15) 能力值： ( LV12，RANK：330 ) 在线值：发帖 12 回帖 48 粉丝 2 关注私信	徐大力 8 17 楼多谢提点 2009-4-5 11:28 0
王旭峰雪币： 192 活跃值： (50) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 52 粉丝 0 关注私信	王旭峰 18 楼这么巧我也正在研究它惭愧 2009-4-5 16:58 0
加百力雪币： 2604 活跃值： (64) 能力值： (RANK：510 ) 在线值：发帖 86 回帖 896 粉丝 4 关注私信	加百力 12 19 楼支持楼主。别灰心。机会一定会有的！说不定，下个单位还更好呢！ 2009-4-6 23:37 0
人很老实雪币： 362 活跃值： (25) 能力值： ( LV7，RANK：100 ) 在线值：发帖 6 回帖 83 粉丝 1 关注私信	人很老实 2 20 楼祝君好运 2009-4-7 09:12 0
guobing 雪币： 10051 活跃值： (158) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 402 粉丝 0 关注私信	guobing 21 楼这么牛的人，竟然被裁，我们这小菜，怎么过啊。趁现在在学校还有时间，还多多努力啊 2009-4-7 10:17 0
徐大力雪币： 179 活跃值： (15) 能力值： ( LV12，RANK：330 ) 在线值：发帖 12 回帖 48 粉丝 2 关注私信	徐大力 8 22 楼已在主贴修改 2009-4-7 16:52 0
Xusually 雪币： 200 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 118 粉丝 0 关注私信	Xusually 23 楼高手都被裁，我等小菜怎么过啊 2009-4-8 18:01 0
wynney 雪币： 224 活跃值： (147) 能力值： ( LV9，RANK：970 ) 在线值：发帖 65 回帖 1109 粉丝 7 关注私信	wynney 24 24 楼 LZ可以试试这里的 http://bbs.pediy.com/showthread.php?t=85011 2009-4-12 18:58 0
霹雳狂风雪币： 190 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 15 回帖 92 粉丝 0 关注私信	霹雳狂风 25 楼 IDA F5 2009-4-13 00:25 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复