PE头在进程装载的时候使用格式比较固定,从中找到需要的信息后不必过多关注,只需要找到还原后的节区体即可。
从文件中的EntryPoint找到进程入口:
占用不需要的元素,其在节区如下区域中插入代码:
蓝色框中是可选头所占区域,其余的到16F为多余的区域。
这条命令将ESI所指的区域中的27个Dword大小的数据移动到EDI所指的地址中(即F0~16F),即将解码代码释放出来,以供后面执行:
红色框中是第一个节区头的部分数据(前五个Dword元素),前面是利用SizeOfOptionalHeader增加出来的区域。
而EDI所指的地方恰好是PE文件的最后部分,并且这个区域是第二节区所处的位置:
下一条指令将两个Word元素(NumberOfRelocations/LineNumbers)压入栈。
然后用400H填充后面1C00个Dword,一直填充到1026DC处(已经快把第二节区[102700]填充满了)。
后面的解码中,首先会反复使用一个函数,大概会看到两种解码方式:
1.对几个变量进行计算,通过adc指令,在循环体中通过对AX寄存器进行反复的计算,得到值,写入EDI寄存器中。
2.通过rep movsb 指令,对一块区域进行解码。
这一区域的代码是两种解码方式最开始都会用到的,通过对函数返回的Flag值进行判断,从而选择了解码方式。
首先看看Decryption()函数,参数通过EDX传入:
首先需要明确一点 EBX 在程序的运行过程是一个固定的值,不会改变,即:0101FEC4
[EBX] , [EBX-4] , [EBX+4],这三个变量(分别命名为A,B,C)与解码密切相关。
1.将变量 A 与传入的变量EDX相乘,然后除以1000H,放在EAX中。
2.由变量 B (地址,即指针) 寻址找到数据,进行字节转置。
3. [B] - C 的值与变量 A 进行对比
(1)若小于 A则不跳转 , A = EAX,[EDX] += (800 - [EDX]) / 20H) , 通常[EDX] <= 400H 。
(2)跳转后:C += EAX , B -= EAX , [EDX] -= [EDX] / 20H .然后置CF位为1。
4.对比AL寄存器是否为0,若为0,则 B++, C /= 3000H , A /= 3000H 。
执行返回。
总结一下这个函数的功能:通过对几个变量的计算,解密出值写入内存,并设置了CF位,后面会用到。
先看第一种解码方式,即不跳转的方式,代表没有置CF位为1,前面计算出来的值小于变量A。
对EAX寄存器进行一系列的操作,如果ECX != 0 就进入循环,通过adc 指令,实现解码:
将AL寄存器写入EDI中,EDI会从第二节区0101Fxxx开始一直写到节区后面[ESI+34]即1014B5A为止。
当然有时候也会写前面的数据。
第二种解码方式是在第一个地方跳转:
这当中有一个执行了Decryption()函数,且执行了stc指令都会跳转。
若执行到最后的jmp,则会最后跳转,然后将EAX中的值写入[EDI]:
若没有执行jmp就跳转了则他们经过一系列对EAX的计算,最后都会到:
逐渐填充:
重建IAT
出循环后会进入第一个循环,从01001000H开始比较,一字节一字节的寻找,直到 [EDI] + 18 == 00 or x1.
第二个循环继续寻找,直到 [EDI] + 18 == x1. 第三个循环是循环132次。
总结一下:一共循环133次,每次都要满足 [EDI] + 18 == x1 。
然后从栈中获取LoadLibrary() 以及 GetProcAddress()的地址,然后先调用LoadLibrary() ,将需要的库载入。
然后通过GetProcAddress()函数依次将获得到的函数地址写入EDI所指向的地址。
ret 返回时就到了正常notepad程序入口。
这篇文章写的杂乱没有头绪,是因为没有真正懂得它的解压缩算法是怎么执行的,只是看出了一个大概的流程。