DLL文件脱壳

转：http://hi.baidu.com/_achillis/item/7e324e08db884b94a2df4313

PE重定位表学习手记

先定义一下用到的几个变量：
char *hModule=NULL;//映射后的基址
PIMAGE_OPTIONAL_HEADER pOptHeader;//扩展头
PIMAGE_DATA_DIRECTORY pRelocTable=NULL;//指向重定位表
PIMAGE_BASE_RELOCATION pRelocBlock;//指向重定位块
WORD *pRelocData;//16位的重定位数据指针
PE头的定位和分析比较简单，不再多说。
首先，先判断重定位表是否存在：
pRelocTable=&(pOptHeader->DataDirectory[IMAGE_DIRECTORY_ENTRY_BASERELOC]);
判断pRelocTable->VirtualAddress和pRelocTable->Size是否为0即可。
若不为0，则重定位表存在。

ModulBase+pRelocTable->VirualAddress即可定位到重定位表。
重定位表的结构如下图所示：

重定位表由一个个的重定位块组成，如果重定位表存在的话，必定是至少有一个重定位块。
因为每个块只负责定位0x1000大小范围内的数据，因此如果要定位的数据范围比较大的话，
就会有多个重定位块存在。

每个块的首部是如下定义：
typedef struct _IMAGE_BASE_RELOCATION {
     DWORD    VirtualAddress;
     DWORD    SizeOfBlock;
} IMAGE_BASE_RELOCATION;

把内存中需要重定位的数据按页的大小0x1000分为若干个块，而这个VirtualAddress就是每个块的起始RVA.只知道块的RVA当然还不行，我们要知道每一个需要重定位数据的具体地址。
每个需重定位的数据其地址及定位方式用两个字节来表示，记为RelocData，紧跟在IMAGE_BASE_RELOCATION结构之后，如图所示。
每个块中重定位信息的个数如何确定？
这个可由每个块结构中的Size来确定。Size的值是以DWORD表示的当前整个块的大小，先减去IMAGE_BASE_RELOCATION的大小，因为重定位数据是16位WORD的，再除以2，就得到个重定位数据的个数。由Size可以直接到达下一个重定位块，如图所示：0x5E850000+0x000000EC=0x5E8500EC即为第二个重定位块的地址，直至某个块首结构的VirtualAddress为0，表明重定位表结束。

每个块中重定位数据的个数确定了，如何得知具体每个需进行重定位的数据的地址呢？

每个16位重定位信息包括低12位的重定位位置和高4位的重定位类型。要得到重定位的RVA,IMAGE_BASE_RELOCATION'的'VirtualAddress'需要加上12位位置偏移量. 类型是下列之一：

     IMAGE_REL_BASED_ABSOLUTE (0) 使块按照32位对齐，位置为0。
     IMAGE_REL_BASED_HIGH (1) 高16位必须应用于偏移量所指高字16位。
     IMAGE_REL_BASED_LOW (2) 低16位必须应用于偏移量所指低字16位。
     IMAGE_REL_BASED_HIGHLOW (3) 全部32位应用于所有32位。.
     IMAGE_REL_BASED_HIGHADJ (4) 需要32位，高16位位于偏移量，低16位位于下一个偏移量数组元素，组合为一个带符号数，加上32位的一个数，然后加上8000然后把高16位保存在偏移量的16位域内。
     IMAGE_REL_BASED_MIPS_JMPADDR (5)         Unknown
     IMAGE_REL_BASED_SECTION (6)         Unknown
     IMAGE_REL_BASED_REL32 (7)         Unknown

以第一个重定位数据0x34AC为例，其高四位表明了重定位类型为3,即IMAGE_REL_BASED_HIGHLOW，Win32环境下的重定位基本都是这个类型的。
其低12位则表明了相对于VirtualAddress的RVA偏移量。VirtualAddress即需重定位的数据块的起始RVA，再加上这低12位的值就得到了具体的需要进行重定位处理的数据的RVA。感觉说得有点乱，总之就是VirtualAddress与每一个16位重定位数据一起可以得到一个具体要进行重定位处理的数据的RVA。

也就是说：
要进行重定位处理的数据的RVA=VirtualAddress+RelocData&0x0FFF
=0x00001000+(0x34AC)&0x0FFF
=0x000014AC

再加上模块基址，就得到了在内存中的真实地址了
由ModuleBase=0x5E830000，可得这个重定位数据的地址为:0x5E830000+0x000014AC=0x5E8314AC
转到OD的反汇编窗口，Ctrl+G跳到这个地址，可以看到：

OD自动标上了下划线，表明这是一个重定位数据，接下来的几个数据也可以一一进行对应.
至此，重定位算是搞明白了。

那如何进行修正呢？
把需要修正的数据减去IMAGE_OPTINAL_HEADER中的ImageBase，再加上当前加载的实际基址，就可以了。至此重定位完成！当然，也可以根据别的基址进行重定位。比如加载ntoskrnl.exe时，按照ntoskrnl.exe在内存中加载的实际基址0x804E0000（我系统上的数据）进行重定位之后，然后就可以干很多事情了~~比如查找原始SSDT，或者进行 InlineHook检测，搜索未导出函数等等，总之比较有用。

 

转：http://bbs.pediy.com/showthread.php?t=61334

加壳的DLL处理重定位表有以下几种情况：
1)完整的保留了原重定位表；
2)对原重定位表进行了加密处理；
等等

像ASPack,ASProtect等壳属于第1种情况，没有加密重定位表，脱壳后，只需找到重定位的地址和大小即可。
像UPX，PECompact等壳属于第2种情况，必须重建重定位表，这也是本文所要讨论的，本文以UPX为例来讲述一下重定位的重建。
用UPX v3.01将EdrLib.dll文件加壳，用PE工具查看其PE信息。
EntryPoint：E640h
ImageBase：400000h


13.5.1 寻找OEP

当DLL被初次映射到进程的地址空间中时，系统将调用DllMain函数，当卸载DLL时也会再次调用DllMain函数。也就是说，DLL文件相比EXE文件运行有一些特殊性，EXE的入口点只在开始时执行一次，而DLL的入口点在整个执行过程中至少要执行两次。一次是在开始时，用来对DLL做一些初始化。至少还有一次是在退出时，用来清理DLL再退出。所以DLL找OEP也有两条路可以走，一是载入时找，另一方法是在退出时找。而且一般来说前一种方法外壳代码较复杂，建议用第二种方法。
UPX壳比较简单，往下翻翻，就可看到跳到OEP的代码：

代码:

003DE7F5   .  58              pop     eax003DE7F6   .  61              popad003DE7F7   .  8D4424 80       lea     eax, dword ptr [esp-80]003DE7FB   >  6A 00           push    0003DE7FD   .  39C4            cmp     esp, eax003DE7FF   .^ 75 FA           jnz     short 003DE7FB003DE801   .  83EC 80         sub     esp, -80003DE804   >- E9 372AFFFF     jmp     003D1240  //跳到OEP

13.5.2 Dump映像文件

停在OEP后，运行LordPE，在进程窗口选择loaddll.exe进程，在下方窗口中的EdrLib.dll模块上单击右键，执行“dump full”菜单命令，将文件抓取并保存到文件里，如图13.43所示。


图13.45 抓取DLL内存映像

对于DLL文件来说，Windows系统没有办法保证每一次运行时提供相同的基地址。如果DLL基址所在内存空间被占用或该区域不够大，系统会寻找另一个地址空间的区域来映射DLL，此时外壳将对DLL执行某些重定位操作。从图13.43得知，此时DLL被映射到内存的地址是03D000h，与EdrLib.dll默认的基址400000h不同，被重定位项所指向的地方是已经重定位了的代码数据。
例如这句：

代码:

003D1266     A1 58B43D00        mov     eax, dword ptr [3DB458]

为了得到与加壳前一样的文件，必须找到重定位的代码，跳过它，让其不被重定位。重新加载DLL，对上句重定位的地址3D1267h下内存写断点，中断几下，就可来到重定位的处理代码。

代码:

003DE79E  mov     al, byte ptr [edi]              ;指向UPX自己加密过的重定位表003DE7A0  inc     edi                                  ;指针移向下一位003DE7A1  or      eax, eax                            ;EAX=0？结束标志003DE7A3  je      short 003DE7C7               003DE7A5  cmp     al, 0EF003DE7A7  ja      short 003DE7BA                   003DE7A9  add     ebx, eax                          ;EBX的初值为（0xFFC+基址）003DE7AB  mov     eax, dword ptr [ebx]             ;EBX指向需要重定位的数据，取出放到EAX003DE7AD  xchg    ah, al003DE7AF  rol     eax, 10003DE7B2  xchg    ah, al003DE7B4  add     eax, esi                          ; ESI指向UPX0区块的VA，本例=3D1000003DE7B6  mov     dword ptr [ebx], eax           ;重定位003DE7B8  jmp     short 003DE79C              003DE7BA  and     al, 0F003DE7BC  shl     eax, 10003DE7BF  mov     ax, word ptr [edi]003DE7C2  add     edi, 2003DE7C5  jmp     short 003DE7A9            003DE7C7  mov     ebp, dword ptr [esi+E044]        ;改好ESI为401000后，按F4到这里

UPX壳己将原基址重定位表清零，重定位操作时，使用其自己的重定位表。地址3DE7B4h处ESI指向UPX0区块的VA，本例为3D1000h，为了让代码以默认ImageBase的值400000h重定位代码，可以在这句强制将ESI的值改为401000h。来到这句后，双击ESI寄存器，改成401000h，然后按F4来到3DE7C7h这时。此时代码段的数据没被重定位，可以Dump了。

代码:

003D1253     833D 68AD4000 00     cmp     dword ptr [40AD68], 0

运行LordPE将DLL映像抓取，并保存为upx_dumped.dll。

13.5.3 重建DLL的输入表

ImportREC能很好地支持DLL的输入表的重建，首先，在Options里将“Use PE Header From Disk”默认的选项去除。这是因为ImportREC需要获得基址计算RVA值，DLL如果重定位了，从磁盘取默认基址计算会导致结果错误。

1)在ImportREC下拉列表框中选择DLL装载器的进程，此处为loaddll.exe进程。
2)单击“Pick DLL”按钮，在DLL进程列表中选择EdrLib.dll进程（见图13.47）。


图13.47 选择DLL进程
3)在OEP处，填上DLL入口的RVA值1240h，单击IAT AutoSearch按钮获取IAT地址。如果失败，必须手工判断DLL的IAT位置和大小，其RVA为7000h，Size为E8h。
4)单击“Get Import”按钮，让其分析IAT结构重建输入表。
5)勾选Add new section，单击“Fix Dump”按钮，并选择刚抓取的映像文件dumped.dll，它将创建一个dumped_.dll文件。

13.5.4 构造重定位表

原理请参考本文开始处的说明。
先来回顾一个重定位表的结构：

代码:

IMAGE_BASE_RELOCATION STRUCT    VirtualAddress    dd    0    SizeOfBlock        dd    0    Type1            dw    0; 其中：Bit15—Bit12为类型 type，Bit11--Bit0 为ItemOffsetIMAGE_RELOCATION ENDS

重定位表以1000h大小为一个段，因为ItemOffset最长为12位，即刚好为1000h。如果还有更多段，将重复上面数据结构，直到VirtualAddress为NULL，表示结束。
ReloREC工具可以根据一组重定位的RVA，重新构造一个新的重定位表。首先要做的工作是将UPX外壳这些要重定位的RVA提取出来。
在处理重定位代码语句中，下面这句就是对代码重定位，其中EBX保存的就是要重定位的地址。

代码:

003DE7B6     mov     dword ptr [ebx], eax      ;EBX指向要重定位的RVA

补丁的思路是找块代码空间，跳过去执行补丁代码，将重定位的地址转成RVA，并保存下来。如下语句跳到补丁代码处：

代码:

003DE7B8   jmp     short 003DE80A我们键入的补丁代码：003DE80A   pushad003DE80B   mov     edx, dword ptr [3E0000]    ;从全局变量3E0000h取一地址指针003DE811   sub     ebx, 3D0000                  ;减外壳基址，将ebx中的地址转成RVA003DE817   mov     dword ptr [edx], ebx       ;将获得的RVA保存下来003DE819   add     edx, 4                        ;指向下一个DWRD地址003DE81C   mov     dword ptr [3E0000], edx  ;将指针保存到全局变量中003DE822   popad003DE823   jmp     003DE79C                       ;跳回外壳代码

3E0000h这个地址是OllyDbg的插件HideOD临时分配的，其初始值设为3E0010h，如图13.71。



补丁代码键入完成后，外壳在处理重定位相关代码时，这段补丁代码将需要重定位的RVA全部提取出来。执行完补丁代码，数据窗口将保存需要重定位的RVA，
将需要重定位的RVA复制出来（选取数据时，最后一个DWORD数据是0），操作时单击鼠标右键，执行菜单Binary/Binary copy（二进制复制）功能，再运行WinHex，新建一文档，将这段二进制数据粘贴进去，粘贴时，选择ASCII Hex模式（图13.52），然后将提取的数据保存为Relo.bin。

Relo.bin中保存的就是需要重定位的地址，以RVA表示。部分数据如下：

代码:

0000101D000010310000106E0000108D000010A1000010DE000010FB000011090000110F……

ReloREC这款工具，就是根据这些RVA重新生成一份新的重定位表


准备工作完成，运行ReloREC，将Relo.bin拖放到ReloREC主界面上可打开此文件，如图13.53。然后在dumped_.dll里找一块空白代码处保存重定位表（一般在UPX1或UPX2区块里找），在这选择C000h处。在Relocation's RVA域里填上新重定位表的RVA地址，本例为C000h，最后单击“Fix Dump”按钮，打开上节刚修复输入表的dumped_.dll文件，即可完成重定位表的修复。



看雪学院
看雪软件安全论坛
http://www.pediy.com
2008.3.16