upx unpacking

 

 

 

간단히 만들어진 파일을 분석해보자

 

 

 

sln을 이제 열어보니까

 

main내용을 보면 messagebox하나만 실행된다

 

F5 로 실행해보니까

 

 

UPX 로 패킹하고 언패킹해보면된다.

 

 

 

 

여기로 들어가서 CMD로 저경로로 간뒤에 진행을 합니다.

 

 

그러면 압축을 진행했습니다.

 

 

메세지 박스는 압축을해도 똑같이 메세지박스가 나오지만 

 

 

 

 

 

PE구조를 보게되면

 

 

 

 

이게패킹된것과 패킹되지 않은것의 차이가 가장컷다.

 

 

패킹이되면 가상메모리를 할당하고 그런 내용만있지만

 

 

 

 

언패킹된 원래 프로그램은 구조 자체가 틀리고 자세하게볼 수 있습니다.

 

 

 

 

 

푸는것은 upx.exe -d MsgBox_upx.exe -o Msg_unpack_upx.exe

 

 

풀어서 peview로도 관찰하니까 아주 잘됬다.

 

 

 

그래프 버튼을누르게되면

 

 

 

 

 

압축이 된애와 압축이 풀린애의 그래프를 관찰도 해보니까 조금 많이 달랐다.

 

 

 

zero value의 차이와

 

해쉬값도 바꼇다

 

 

[

exeinfo를 통해

 

멀로 패킹됬는지 알수있었습니다.