DeXRAY.pl

1. #!/usr/bin/perl
2. #
3. # dexray v0.2, written by Adam Blaszczyk @ Hexacorn.com, 2012-01/09
4. #
5. # This is a simple script that attempts to decrypt Portable Executable files
6. # embedded in an encrypted form within other files (using encryption
7. # relying on a one-byte xor key).
8. #
9. # Note: it scans directories recursively
10. #
11. # It attempts to handle:
12. #     * Any binary file (using X-RAY scanning)
13. #     * Symantec Quarantine files (VBN/QBD)
14. #     * McAfee Quarantine files (BUP)
15. #
16. # Usage:
17. #      perl DeXRAY.pl <filename or directory>
18. #
19. #  History
20. #     2012-09-22 - added support fore new VBN files (xor A5 + F6 xx xx FF FF chunks)
21. #     2012-01-23 - fixed minor bug in X-RAY loop
22. #     2012-01-05 - first release
23. #
24.  
25. use strict;
26. use warnings;
27.  
28. $| = 1;
29.  
30. print STDERR "
31. =================================================================
32. dexray v0.2, written by Adam Blaszczyk @ Hexacorn.com, 2012-01/09
33. =================================================================
34. ";
35.  
36.     my $target = shift or die "\n\nError: Gimme a filename or dir (use '.' for a current directory)!\n";
37.  
38.        if (-d $target)
39.        {
40.           scan ($target);
41.        }
42.     elsif (-f $target)
43.        {
44.           processonefile ($target);
45.        }
46.     else
47.        {
48.           print "\n\nError: Don't know what to do with '$target'!\n";
49.        }
50.  
51.     exit(0);
52.  
53. ######################
54. sub scan
55.     {
56.         my $subdir = shift;
57.  
58.         $subdir =~ s/^\.\///;
59.  
60.         print   STDERR "Processing  directory: '$subdir'\n";
61.  
62.         opendir(DIR, $subdir);
63.         my @sorted_subdir = sort readdir DIR;
64.         closedir DIR;
65.  
66.         foreach my $filename (@sorted_subdir)
67.            {
68.                 next if $filename =~ /^\.{1,2}$/;
69.  
70.                 my $fullpath = $subdir.'/'.$filename;
71.  
72.                 if (-d $fullpath)
73.                    {
74.                        scan ($fullpath);
75.                        next;
76.                    }
77.  
78.                 processonefile ($fullpath);
79.            }
80.     }
81.  
82. ######################
83. sub processonefile
84.     {
85.         my $file = shift;
86.  
87.         print   STDERR "Processing file: '$file'!\n";
88.  
89.         if (! -f $file)
90.             {
91.                 print STDERR " -> Can't be found! (check attributes/access rights)\n";
92.                 return;
93.             }
94.  
95.         my $filesize = -s $file;
96.  
97.         if ($filesize == 0)
98.             {
99.                 print STDERR " -> Skipping cuz it's empty !\n";
100.                 return;
101.             }
102.  
103.         my $data = readfile ($file, 0, $filesize);
104.  
105.         my $datalen = length($data);
106.         if ($filesize != $datalen)
107.             {
108.                 print STDERR " -> Skipping cuz something funny happened during data reading (investigate)!\n";
109.                 return;
110.             }
111.  
112.         my $newdata = '';
113.  
114.         if ($file =~ /\.vbn$/i)
115.             {
116.                 my $ofs = unpack ("L", $data);
117.                 if ($ofs < ($filesize-4))
118.                 {
119.                    extractdata ($file, $data, $ofs, $filesize-$ofs, 0x5A, 1);
120.                    extractdata ($file, $data, $ofs, $filesize-$ofs, 0xA5, 1);
121.                 }
122.                 else
123.                 {
124.                    extractdata ($file, $data, 0x00000000,$filesize, 0x5A, 1);
125.                    extractdata ($file, $data, 0x00000000,$filesize, 0xA5, 1);
126.                 }
127.             }
128.  
129.         if ($file =~ /\.qbd$/i)
130.             {
131.                 extractdata ($file, $data, 0x00000000, $filesize, 0xB3, 1);
132.             }
133.  
134.         if ($file =~ /\.bup$/i)
135.             {
136.                 extractdata ($file, $data, 0x00000000, $filesize, 0x6A, 1);
137.             }
138.  
139.         my $progress_delta = 100/$datalen; # $datalen is never 0
140.         my $progress = 0;
141.         my $lastprogress = 0;
142.  
143. #       my @dataa = split(//,$data);
144.         my $cnt = 0;
145.         print   STDERR "    Attempting x-ray scan ($datalen bytes)\n";
146.         print   STDERR "    (may take quite some time !!!)\n" if $datalen>2000000;
147.         for (my $ofs=1; $ofs<$datalen; $ofs++)
148.             {
149.                print STDERR int($progress)."%\r" if $progress != $lastprogress;
150.  
151.                 if ( (ord(substr($data, $ofs, 1)) ^ ord(substr($data, $ofs+1, 1))) == 0x17)
152.                 #if ( (ord($dataa[$ofs]) ^ ord($dataa[$ofs+1]) ) == 0x17)
153.                 {
154.                   my $key = ord(substr($data, $ofs, 1)) ^ 0x4D;
155.                   next if ( ord(substr($data, $ofs+1, 1)) ^ $key ) != 0x5A;
156.  
157.                   my $MZPE = dexor(substr($data,$ofs,16384),$key);
158.                   if ($MZPE =~ /^MZ.+PE\x00\x00/s)
159.                      {
160.                         $cnt+=extractdata ($file, $data, $ofs,$filesize-$ofs, $key, 0);
161.                      }
162.                 }
163.                 $lastprogress = $progress;
164.                 $progress+=$progress_delta;
165.             }
166.  
167.         print   STDERR " -> Nothing found via X-RAY!\n" if $cnt == 0;
168.         print   STDERR " -> $cnt potential file(s) found via X-RAY!\n" if $cnt > 0;
169.     }
170.  
171. sub extractdata
172.     {
173.         my $file = shift;
174.         my $data = shift;
175.         my $ofs  = shift;
176.         my $size = shift;
177.         my $key  = shift;
178.         my $flag = shift;
179.  
180.         my $newfilename = sprintf($file.'.%08d.%02X.out',$ofs,$key);
181.  
182.         my $newdata = dexor(substr($data,$ofs,$size),$key);
183.         if ($newdata =~ /^MZ.+PE\x00\x00/s)
184.            {
185.                print   STDERR " -> '$newfilename' - Possible PE\n -> ofs='$ofs' (".sprintf("%08lX",$ofs)."), key = 0x".sprintf("%02X",$key)." ($key)!\n";
186.                if ($file =~/\.vbn$/i && $key==0xA5)
187.                {
188.                  print   STDERR "     removing chunk dividers for newer VBN files ... \n";
189.                  $newdata =~ s/(.{3864})\xF6..\xFF\xFF/$1/sig;
190.                }
191.                writefile ($newfilename, $newdata);
192.                return 1;
193.            }
194.         elsif ($flag == 1)
195.            {
196.                print   STDERR " -> '$newfilename' - Decrypted data\n -> ofs='$ofs' (".sprintf("%08lX",$ofs)."), key = 0x".sprintf("%02X",$key)." ($key)!\n";
197.                writefile ($newfilename, $newdata);
198.                return 1;
199.            }
200.  
201.       return 0;
202.     }
203.  
204. sub writefile
205.     {
206.         my $file = shift;
207.         my $data = shift;
208.  
209.         open    (FILE, '>'.$file);
210.         binmode (FILE);
211.         print    FILE $data;
212.         close   (FILE);
213.     }
214.  
215. sub readfile
216.     {
217.         my $file = shift;
218.         my $ofs  = shift;
219.         my $siz  = shift;
220.  
221.         return  '' if !-f $file;
222.  
223.         open    (FILE, '<'.$file);
224.         binmode (FILE);
225.         seek    (FILE, $ofs, 0);
226.         read    (FILE, my $data, $siz);
227.         close   (FILE);
228.  
229.         return $data;
230.     }
231.  
232. sub dexor
233.     {
234.         my $data = shift;
235.         my $xorv = shift;
236.  
237.         my $newdata = '';
238.  
239.         for (my $i=0; $i<length($data); $i++)
240.             {
241.                 $newdata .= chr(ord(substr($data, $i, 1)) ^ $xorv);
242.             }
243.  
244.         return $newdata;
245.     }