UPX 자동 언패킹

1. UPX(Ultimate Packer for executables)

- 여러 운영체제에서 많은 파일 포멧을 지원하는 오픈 소스 실행 파일 압축 프로그램

- 압축 및 해제 모두 가능함

 

2. 패킹 관련 사항

* UPX0, UPX1, .rsrc 총 3가지로 구성됨

* Section UPX0 : 메모리에 로드된 후 압축코드가 해제 될 공간

* Section UPX1 : 압축코드가 저장되는 공간

 

3. UPX 언패킹

[그림 1-1] UPX 언패킹 시도

upx 프로그램을 사용해서 MsgBox.exe 파일을 언패킹을 시도한다. 언패킹에 성공하면 기존 파일 사이즈가 많이 줄어 들었음을 알 수 있다.

 

[그림 1-2] UPX 언패킹 결과

PEView 프로그램에 언패킹된 파일과 언패킹 되지 않은 파일을 올려서 비교해보면 벌써 내용이 달라졌다는 것을 확인할 수 있다. 여기서 중점적으로 봐야할 것은 SECTION .rdata 부분인데 원본 파일에서는 존재하지만 언패킹된 파일에선 존재하지 않는다.