環境設定#
リモートデバッグの大体のアーキテクチャは以下の図の通りです。
mac 上で Windows のデバッガを実行できないため、リモートデバッグを通じて mac でデバッグを行います。
まず、パッキングされたファイルとリモートデバッグサービスファイルをTARGET(win10)
マシンにコピーします。リモートデバッグサービスファイルは dbgsrv ディレクトリにあります。
TARGET(win10)
の最終構造は以下の通りです。
パッキングプログラムは upx を使用してパッキングされており、32 ビットプログラムです。
リモートデバッグ#
リモートデバッグの前に、パッキングプログラムPACKED_PRACTICA_1.EXE
を mac(ida7.0)上で局所分析し、MANUAL LOAD を選択して手動で全セクションをロードします。
デバッグを実行する前に、IDA ローダーはパッキングされたプログラムのエントリに移動します。
プログラムエントリ
注意:データベースファイル IDB の名前を変更しないでください。
TARGET(win10)
で win32_remote.exe リモートデバッグサーバーを実行し、-i で IP アドレスを指定します。
デバッガーはRemote Windows debugger
を選択します。
Process options で、Hostname にTARGET(win10)
の IP アドレスとポートを入力し、Application と Input file にTARGET(win10)
内のパッキングプログラムの絶対パスを記入し、Directory にディレクトリパスを入力します。設定が完了したら、ok をクリックします。
デバッガーメニューを開き、Start process を選択します。デバッグが開始された後、プログラムエントリで一時停止します(修正:0x638ec でブレークポイントを設定する必要があります)。
実行可能ファイルはランダム化処理が施されているため、毎回実行されるアドレスが変わります。そのため、同じ実行中にダンプと IAT の再構築を完了する必要があり、途中でプログラムを閉じることはできません。
segments タブを開き、ヘッダーファイルの後の最初のコードセクションを観察します。このセクションの開始アドレスは 631000、終了アドレスは 238000 です。
OEP の探索#
最初の方法は、テキスト検索機能を使用して popad または popa 命令を検索することです。このプログラムでは、1 つの popa 命令を検索できます。
図から、このアドレス 0x63146e が OEP であることがわかります。
2 番目の方法は、以前学んだ最初のセクションの実行ブレークポイントをオーバーライドして OEP を探すことです。
セグメントビューの最初のセクションをダブルクリックし、0x631000 にジャンプしてセクションデータを確認します。アドレスはランダム化されており、ベースアドレスは 0x401000 ではありませんが、メモリ使用量は 0x7000 です。upx0 セクションは 0x631000 から 0x638000 までで、差分は 0x7000 バイトです。
F2 キーを押して upx0 セクションの開始点にブレークポイントを設定します。ここは 0x601000 で、ブレークポイントのサイズは 0x7000 です。
他のブレークポイントを削除し、このブレークポイントだけを残して F9 キーを押してデバッグを開始します。
プログラムはここで一時停止し、以前の OEP 位置と一致していることを確認したら、このブレークポイントを削除し、赤い背景を取り除きます。
画面左下の Reanalyze program をクリックしてプログラムを再分析します。
OEP 以降の内容は IDA によって STUB の一部として認識されたため、sub_
ではなくloc_
としてマークされています。
ダンプと IAT の再構築#
OEP を見つけたら、ダンプと IAT の再構築を開始します。まず、ファイルのベースアドレスと最大アドレスを確認します。
ここでファイルのベースアドレスは 0x630000、最大アドレスは 0x63B000 です。ダンプ用のスクリプトファイルを取り出し、ファイル内のアドレスを修正してからスクリプトをロードして実行します。
スクリプトは以下の通りです:
import idaapi
import idc
import struct
start_ea = 0x630000
end_ea = 0x63b000
step = 4 # 各アドレスのデータは4バイトを占有
file_path = "dump.bin"
with open(file_path, "wb") as f:
for ea in range(start_ea, end_ea, step):
# 指定アドレスの4バイトデータを読み取り、小端バイトオーダーに変換
bin_data = struct.pack("<L", idaapi.get_32bit(ea))
f.write(bin_data)
実行が完了すると、ダンプファイルが生成されます(スクリプトファイルは mac 上で実行されるため、ダンプファイルも mac 上に生成されます)。
dump.bin ファイルを Windows にコピーし、peeditor で開きます。
各セクションで右クリックして dumpfixer を選択し、操作を完了した後、.bin を.exe ファイルに変更します。結果は以下の通りです:
dump.exe ファイルを scylla で開き、パッキングプログラムプロセスをロードします。
OEP アドレスを入力します。ここでは 0x63146e です。その後、IAT Autosearch と Get Imports をクリックすると、未認識の API 関数が見つかります。
API アドレスにベースアドレスを加えます。0x630000+0x20d4=0x6320d4 に移動し、16 進数ビューに切り替えますが、IAT の一部ではありません。
逆アセンブルビューに切り替えてその参照を確認すると、内容は以下の通りです:
x キーを押すと 2 つの参照が表示されます。
0x6320d4
が指すアドレスは RET 命令のみを返します。以下の通りです:
0x6320d4
はプログラム内の固定アドレスを指しており、RET 命令のみで、API 関数を参照していないため、削除できます。Syclla で API 関数エラーの場所を右クリックし、CUT THUNK で IAT から削除します。
削除後は以下の通りです:
最後に Fix Dump をクリックして dump.exe の IAT を再構築し、最終的に dump_SCY.exe 実行可能プログラムを生成します。
もしこの時点で dump_SCY.exe を実行すると、まだ黒い画面が一瞬表示されます。
ランダムベースアドレスの解除#
IAT の他に、実行時に生成されるアドレスがリダイレクトされていないため、常に変わるので、このランダム性を排除する必要があります。ida を開き、dump_SCY.exe ファイルをロードし、Manual Load で pe ヘッダセクションをロードしてからこのセクションに移動します。
ヘッダー内で以下の内容 Dll characteristics を見つけ、その値を 0 に変更します。
メニュー Edit-patch program-change word を開き、この値を 0 に変更します。
ok をクリックし、apply patches to input file を使用して変更を実行可能ファイルに保存します。
この時点で、再度dump_SCY.exe
を実行すると、正常に実行され、脱壳後のファイルが成功裏に実行されることが確認できます。