UPX

📌 UPX 패킹 전과 후의 PE Format 비교

비교점

1. PE header의 크기는 동일
2. 섹션 이름 변경 (".upx0",".upx1")
3. ".upx0"의 RawDataSize=0
4. EP는 ".upx1"에 위치
5. .rsrc는 거의 변하지 않음
   

압축해제 과정

1. 압축된 코드를 첫번째 섹션에 풀어버린다.
2. 압축해제 코드와 압축된 원본 코드는 두번째 섹션에 존재

📌 어셈블리 코드로 보는 UPX 패킹 해제 과정

1. 해당 코드를 보면 EDX의 값을 한 바이트 씩 읽어서 EDI에 입력하고 있다. 그 작업을 반복하여 수행하고 있다.

2. 해당 코드에 1번보다 큰 Loop문이 있다. 이 Loop문은 압축해제한 코드의 값을 차례로 EDI가 가리키는 첫번째 섹션에 적고 있다. 이 Loop문이 끝났다는 것은 모든 압축된 코드들이 첫번째 섹션에 다 적혔다는 것을 의미한다.

3. 해당 코드를 통해 CALL/JMP 명령어의 destination 주소를 원래 주소로 복원시킨다.

4. 해당 코드를 통해 IAT를 세팅한다. ESI + 13000이므로 01014000에 세팅되며, 확인해보면 API 문자열이 저장되어있음을 알 수 있다.

5. 해당 코드를 통해 pushad에 대응되는 popad가 나온 것을 알 수 있다. 이 코드 끝의 0100739D가 우리가 찾고자 하는 OEP(Original Entry Point)로 원본 코드의 시작점이라고 할 수 있다.

PUSHAD : 8개의 범용 레지스터 (EAX-EDI)의 값을 스택에 저장한다.
POPAD : PUSHAD 명령에 의해 스택에 저장된 값을 각 레지스터들에게 입력하는 명령어.