005 NsPack 1.4 之附加数据初探

文章目录

查壳
OD脱壳
修复导入表
处理附加数据
关于附加数据
- NO.1
- NO.2
- NO.3

查壳

拿到样本之后先查壳发现是NsPack 后面还有个Overlay 看到这个就要警惕了说明PE程序尾部有附加数据

OD脱壳

载入OD之后在入口点发现了pushfd和pushad 于是采用最快的脱壳方法
使用Ctrl+S键查找所有命令

查找对应的两条命令

在jmp的地方下断点 F7就能到达OEP 之后dump文件

修复导入表

这一次我们使用LoadPE脱壳选中目标进程依次执行下面两个步骤

修正镜像大小
完整转存

接着使用ImportREC修复导入表

查找到的IAT只有两条明显有问题直接dump文件

运行之后显示文件中的数据无效应该是刚刚的附加数据的问题

处理附加数据

将原程序用LoadPE查看计算出PE文件的结束位置即ROffset+RSize=0xCA00
将目标程序拖进010Edit 找到0xCA00的位置右键选择标记选择开始

然后拖到最下面右键选择标记选择结束复制数据

接着打开已经脱壳修复好的文件拖到文件末尾粘贴数据保存

程序正常运行脱壳完成

关于附加数据

关于附加数据不同的壳情况也不一样总的来说会有三种情况

NO.1

有些壳虽然有overlay但是却不用特别处理因为他根本就没有用到过这些数据

NO.2

为什么有些壳要定位指针？所谓的dump就是把内存中的数据转储到磁盘 dump下来之后文件对齐和内存对齐粒度不一样 overlay数据的起始地址就相应的发生了改变所以在这个时候直接粘贴附加数据是行不通的当需要重设指针的时候需要在脱壳后的程序的SetFilePointer下断点然后对原先的文件指针进行栈回溯跟踪一直往上找到赋值的位置然后修改会正确的指针就可以了

NO.3

但是为什么有些壳可以直接粘贴overlay数据呢这是因为目标程序在使用附加数据的时候需要用到两个函数一个是CreateFile SetFilePointer 一个用于打开文件一个用于设置文件指针

   DWORD SetFilePointer(HANDLE hFile,                //在用CreateFileA打开后得到的文件句柄LONG lDistanceToMove,         //要移动的距离，这个是低32位PLONG lpDistanceToMoveHigh,  //要移动的距离，这是高32位，要注意这是一个指向数据的指针DWORD dwMoveMethod          //表示指针开始的位置);

使用这个函数的时候会出现一种情况就是讲第四个参数直接设置为FILE_END 然后将第二个参数设置为一个负值负数表示向前移动 FILE_END表示设置到文件末尾而附加数据无论在原来未脱壳的文件中和还是在脱壳的文件中，因为我们复制的是整个overlay区域，他的overlay部分的数据对于最后的一个字节的距离是不变的。他每次都用FILE_END当然我们这样复制就不需要重定位指针了，也就是说即使我们把原来的文件（从0地址开始）全部复制到脱壳后的文件中也是能够运行的，因为他是靠与最后的地址的距离来定位读取数据。换个说法，如果这个时候你把最后一个数据删掉，或者少复制哪怕是一个字节，就不能运行了。这也是我们为什么要先修复导入表的原因
总结：也就是说如果你把附加数据复制到脱壳后的程序发现能够运行，呵呵~恭喜你，你碰巧遇到用FILE_END为指针的程序。
关于附加数据可以去看Lenux大神的浅谈脱壳中的附加数据问题（overlay）附上看雪链接以上三个问题也是我从这篇文章中得到答案的
https://bbs.pediy.com/thread-9182.htm

需要相关文件可以到我的Github下载:https://github.com/TonyChen56/Unpack-Practice