最近找到一个程序,放到Winhex中发现节区表中有UPX0、UPX1节区,相反没有.data、.text
于是怀疑是加了UPX的壳,使用PEid等工具查壳,均没有提示加壳。有使用UPX官网的脱壳工具拓壳,依旧提示没有UPX的壳。
于是怀疑就是没有加UPX的壳,而是人为修改了节区名,故意误导分析者。
思考一下节区从文件加载到内存的过程:是把节区内容加载到指定虚拟内存处,DOS头、NT头、节区表这些内容虽然也加载到了内存,程序实际运行中并没有使用节区表处的节区名,理论上来说节区表处的节区名是可以人为做修改的。
节区表作用:告诉PE加载器,在文件偏移处的多少字节内容映射到虚拟地址的何处,以及这段虚拟地址的属性:可读、可写、可执行。并不告诉PE加载器那些是代码段、数据段、资源段、重定位段。
既然节区表只负责文件到虚拟内存映射和虚拟内存属性问题,那PE加载器有事怎么找到不同段,保证程序正常运行呢?
1、文件内容到虚拟内存映射
2、进行重定位(假设发生了重定位),这时要找到重定位表(不是从节区表里面找),根据新的镜像基地址改写重定位表中得所有地址。
3、从NT头找到程序入口点+新的镜像基地址(并不去找代码段)开始执行,程序用到的数据和资源在代码段中都有地址(不必去找数据段)
既然不是从节区表找重定位节区,而是从NT头中得16个结构体数组中找到BASE RELOCATION Table元素,里面存放了重定位节区的起始虚拟地址,这个起始虚拟地址和节区头重定位节区中映射到的起始虚拟地址是一致的。
记得还可以在源代码中给指令,告诉编译器生成可执行程序的节区名,所以说节区名不重要,是可以人为修改的。