常见魔改UPX

图一的p_filesize可以全部修改成0(图三也有p_filesize)
example [susctf mirai]
可以看到p_info中的p_filesize为0

找到第二段p_size位置有值,将0x2878的值放到0x00F4处即可-d解密.

overlay_offset位于文件尾部,是p_info的偏移值,当修改overlay_offset时直接-d会报错l_info(逆天,我感觉是p_info来着)
example [basectf UPX PRO]
直接打开overlay_offset是

找到p_info的位置,为0xF4

将overlay_offset改为0xF4即可直接-d解密.

因为运行发现有放调试,调用strace查看是否有调用ptrace()
```
 strace ./encsh
```
确定存在可以用pwndbg确认位置.并且由于反调试在upx解压缩的过程中,需要先等upx自己mmap出来prace()的内存
```
 gdb encsh
 catch syscall mprotect
 catch syscall ptrace
 vmmap       //确定base_addr
 r           //运行到断点
 c           //continue
```
- 之后找到mprotect的地址,在他后面下断点,之后运行到此位置后就可以进入ptrace()的地址,之后c出来syscall的代码,下断点rax == 0x65,之后运行,将rax置0,即可绕过反调试
  - mprotect的地址是动态的
  - ptrace()的地址不是....
  - .....我也不知道为什么
- 之后在入口点下断点,run,之后确定循环解压位置(只看write的部分,32位一直写,等到出现一个确定的地址,而64位好像是以偏移显示),等走出循环,回到入口点,即可进入OEP,在此处下执行断点,将入口点的断点disable,再次断住,就是OEP,之后运行脚本dump_elf
得到dump.bin后,放入ida,找到ELF Dynamic Information,将此处代码u掉,之后运行脚本,将大于原先base_addr的部分减去原base_addr(脚本已经修复此处)
对于.got.plt section的部分需要手动清零,对应位置如下
- 需要修的程序对应的位置:
- 正常程序对应的位置:
- 将下面两处值清零: