第十课 DLL文件脱壳
说明
DLL文件的脱壳与 EXE文件步骤差不多,所不同的是,DLL文件多了个基址重定位
等要考
虑。
在 2003年出版的《加密与解密》(第二版)中以 UPX,PECompact为例讲述了 DLL重定位重
建的
,由于本人的思路限制,当时只是从 UPX,PECompact自身特点找思路解决这问题,
即先分析 UPX,PECompact对重定位表处理算法,然后写工具逆算法还原重定位表,如 UPX
Angela.exe等工具。这种思路的通用性不好,针对不同的壳和版本,要重写工具,并且逆
算法可能不完美,从而存在 bug。
后来,askformore在“重建重定位表脚本”一文中,提出了一种更通用性的解决办法,利
用外壳重定位相关数据时,会根据外壳转储的重定位表确定要重定位的 RVA,完成代码重
定位工作。将这些要重定位的 RVA提取出来,再将这些 RVA根据重定位表的定义重新生成
一份新的重定位表。shoooo也曾提到过这个思路。于是,在第三版重写这部分时,根据这
个思路写了一款工具来完成这个重建功能,详见附件的 ReloREC。另外,ReloREC重构重定
位表的算法代码,参考了 ccfer在看雪论坛.珠海金山 2007逆向分析挑战赛 第二阶段第
三题 提交的代码。在此一并表示感谢!
声明:本文以第三版“13.5 DLL文件脱壳”一文和其他章节临时整理组织,稍有简化,
可能有部分地方用词和描述不是太连贯。
加壳的 DLL处理重定位表有以下几种情况:
1)完整的保留了原重定位表;
2)对原重定位表进行了加密处理;
等等
像 ASPack,ASProtect等壳属于第 1种情况,没有加密重定位表,脱壳后,只需找到重定位
的地址和大小即可。
像 UPX,PECompact等壳属于第 2种情况,必须重建重定位表,这也是本文所要讨论的,本
文以 UPX为例来讲述一下重定位的重建。
用 UPX v3.01将 EdrLib.dll文件加壳,用 PE工具查看其 PE信息。
EntryPoint:E640h
ImageBase:400000h
13.5.1 寻找 OEP
当 DLL被初次映射到进程的地址空间中时,系统将调用 DllMain函数,当卸载 DLL时也会
再次调用 DllMain函数。也就是说,DLL文件相比 EXE文件运行有一些特殊性,EXE的入口
点只在开始时执行一次,而 DLL的入口点在整个执行过程中至少要执行两次。一次是在开
始时,用来对 DLL做一些初始化。至少还有一次是在退出时,用来清理 DLL再退出。所以
DLL找 OEP也有两条路可以走,一是载入时找,另一方法是在退出时找。而且一般来说前
一种方法外壳代码较复杂,建议用第二种方法。
UPX壳比较简单,往下翻翻,就可看到跳到 OEP的代码:
代码:
003DE7F5 . 58 pop eax
003DE7F6 . 61 popad
003DE7F7 . 8D4424 80 lea eax, dword ptr [esp-
80]
003DE7FB > 6A 00 push 0
003DE7FD . 39C4 cmp esp, eax
003DE7FF .^ 75 FA jnz short 003DE7FB
003DE801 . 83EC 80 sub esp, -80
003DE804 >- E9 372AFFFF jmp 003D1240 //跳到 OEP
13.5.2 Dump映像文件
停在 OEP后,运行 LordPE,在进程窗口选择 loaddll.exe进程,在下方窗口中的 EdrLib.d
ll模块上单击右键,执行“dump full”菜单命令,将文件抓取并保存到文件里,如图 13.
43所示。
图 13.45 抓取 DLL内存映像
对于 DLL文件来说,Windows系统没有办法保证每一次运行时提供相同的基地址。如果 DLL
基址所在内存空间被占用或该区域不够大,系统会寻找另一个地址空间的区域来映射 DLL,
此时外壳将对 DLL执行某些重定位操作。从图 13.43得知,此时 DLL被映射到内存的地址
是 03D000h,与 EdrLib.dll默认的基址 400000h不同,被重定位项所指向的地方是已经重
定位了的代码数据。
例如这句:
代码:
003D1266 A1 58B43D00 mov eax, dword ptr [3
DB458]
为了得到与加壳前一样的文件,必须找到重定位的代码,跳过它,让其不被重定位。重新
加载 DLL,对上句重定位的地址 3D1267h下内存写断点,中断几下,就可来到重定位的处
理代码。
代码:
003DE79E mov al, byte ptr [edi] ;指向
UPX自己加密过的重定位表
003DE7A0 inc ed
i ;指针移向
下一位
003DE7A1 or eax, ea
x ;EAX=0?结束标志
003DE7A3 je short 003DE7C7
003DE7A5 cmp al, 0EF
003DE7A7 ja short 003DE7BA
003DE7A9 add ebx, ea
x ;EBX的初值为(0xFFC+基
址)
003DE7AB mov eax, dword ptr [ebx] ;EBX
指向需要重定位的数据,取出放到 EAX
003DE7AD xchg ah, al
003DE7AF rol eax, 10
003DE7B2 xchg ah, al
003DE7B4 add eax, es
i ; ESI指向 UPX0区块的 VA,
本例=3D1000
003DE7B6 mov dword ptr [ebx], eax ;重定位
003DE7B8 jmp short 003DE79C
003DE7BA and al, 0F
003DE7BC shl eax, 10
003DE7BF mov ax, word ptr [edi]
003DE7C2 add edi, 2
003DE7C5 jmp short 003DE7A9
003DE7C7 mov ebp, dword ptr [esi+E044] ;改好 ESI
为 401000后,按 F4到这里
UPX壳己将原基址重定位表清零,重定位操作时,使用其自己的重定位表。地址 3DE7B4h
处 ESI指向 UPX0区块的 VA,本例为 3D1000h,为了让代码以默认 ImageBase的值 400000h
重定位代码,可以在这句强制将 ESI的值改为 401000h。来到这句后,双击 ESI寄存器,
改成 401000h,然后按 F4来到 3DE7C7h这时。此时代码段的数据没被重定位,可以 Dump
了。
代码:
003D1253 833D 68AD4000 00 cmp dword ptr [40AD6
8], 0
运行 LordPE将 DLL映像抓取,并保存为 upx_dumped.dll。
13.5.3 重建 DLL的输入表
ImportREC能很好地支持 DLL的输入表的重建,首先,在 Options里将“Use PE Heade
r From Disk”默认的选项去除。这是因为 ImportREC需要获得基址计算 RVA值,DLL如
果重定位了,从磁盘取默认基址计算会导致结果错误。
1)在 ImportREC下拉列表框中选择 DLL装载器的进程,此处为 loaddll.exe进程。
2)单击“Pick DLL”按钮,在 DLL进程列表中选择 EdrLib.dll进程(见图 13.47)。
图 13.47 选择 DLL进程
3)在 OEP处,填上 DLL入口的 RVA值 1240h,单击 IAT AutoSearch按钮获取 IAT地址。
如果失败,必须手工判断 DLL的 IAT位置和大小,其 RVA为 7000h,Size为 E8h。
4)单击“Get Import”按钮,让其分析 IAT结构重建输入表。
5)勾选 Add new section,单击“Fix Dump”按钮,并选择刚抓取的映像文件 dumpe
d.dll,它将创建一个 dumped_.dll文件。
13.5.4 构造重定位表
原理请参考本文开始处的说明。
先来回顾一个重定位表的结构:
代码:
IMAGE_BASE_RELOCATION STRUCT
VirtualAddress dd 0
SizeOfBlock dd 0
Type1 dw 0; 其中:Bit15—Bit12为类型 t
ype,Bit11--Bit0 为 ItemOffset
IMAGE_RELOCATION ENDS
重定位表以 1000h大小为一个段,因为 ItemOffset最长为 12位,即刚好为 1000h。如果
还有更多段,将重复上面数据结构,直到 VirtualAddress为 NULL,表示结束。
ReloREC工具可以根据一组重定位的 RVA,重新构造一个新的重定位表。首先要做的工作是
将 UPX外壳这些要重定位的 RVA提取出来。
在处理重定位代码语句中,下面这句就是对代码重定位,其中 EBX保存的就是要重定位
的地址。
代码:
003DE7B6 mov dword ptr [ebx], eax ;EBX指向要重
定位的 RVA
补丁的思路是找块代码空间,跳过去执行补丁代码,将重定位的地址转成 RVA,并保存下
来。如下语句跳到补丁代码处:
代码:
003DE7B8 jmp short 003DE80A
我们键入的补丁代码:
003DE80A pushad
003DE80B mov edx, dword ptr [3E0000] ;从全局变量 3E0000
h取一地址指针
003DE811 sub ebx, 3D0000 ;减
外壳基址,将 ebx中的地址转成 RVA
003DE817 mov dword ptr [edx], ebx ;将获得的 RVA保
存下来
003DE819 add ed
x, 4 ;指向下一个 DWRD地址
003DE81C mov dword ptr [3E0000], edx ;将指针保存到全局变量
中
003DE822 popad
003DE823 jmp 003DE79
C ;跳回外壳代码
3E0000h这个地址是 OllyDbg的插件 HideOD临时分配的,其初始值设为 3E0010h,如图 13.
71。
补丁代码键入完成后,外壳在处理重定位相关代码时,这段补丁代码将需要重定位的 RV
A全部提取出来。执行完补丁代码,数据窗口将保存需要重定位的 RVA,
将需要重定位的 RVA复制出来(选取数据时,最后一个 DWORD数据是 0),操作时单击
鼠标右键,执行菜单 Binary/Binary copy(二进制复制)功能,再运行 WinHex,新建一
文档,将这段二进制数据粘贴进去,粘贴时,选择 ASCII Hex模式(图 13.52),然后将
提取的数据保存为 Relo.bin。
Relo.bin中保存的就是需要重定位的地址,以 RVA表示。部分数据如下:
代码:
0000101D
00001031
0000106E
0000108D
000010A1
000010DE
000010FB
00001109
0000110F
……
ReloREC这款工具,就是根据这些 RVA重新生成一份新的重定位表
准备工作完成,运行 ReloREC,将 Relo.bin拖放到 ReloREC主界面上可打开此文件,如
图 13.53。然后在 dumped_.dll里找一块空白代码处保存重定位表(一般在 UPX1或 UPX2
区块里找),在这选择 C000h 处。在 Relocation's RVA 域里填上新重定位表的 RVA 地址,
本例为 C000h,最后单击“Fix Dump”按钮,打开上节刚修复输入表的 dumped_.dll 文件,
即可完成重定位表的修复。
看雪学院
看雪软件安全论坛
http://www.pediy.com
2008.3.16
上传的附件
脱壳实例.rar (42.1 KB, 2193 次下载) [谁下载?]
ReloREC 1.0.rar (37.0 KB, 1937 次下载) [谁下载?]