滴水加壳作业

最新推荐文章于 2024-09-14 19:49:31 发布
最新推荐文章于 2024-09-14 19:49:31 发布
阅读量96 收藏 1
点赞数
文章标签: 单片机 stm32 嵌入式硬件 c语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_76355933/article/details/132193788
版权

解密shell

# include <windows.h>
# include <stdio.h>
int main() {
	// 1.读取当前执行程序,然后取出最后一个节的模块数据进行解密
	char shellpath[256];
	GetModuleFileName(NULL, shellpath, 256);//得到当前模块路径,也就是exe的路径
	FILE* p = fopen(shellpath, "rb");
	//判断打开情况				
	if (!p) {
		printf("文件打开失败\n");
	}
	//判断文件大小				
	fseek(p, 0, SEEK_END);
	int d = ftell(p);
	fseek(p, 0, SEEK_SET);
	//开始读取文件				
	PDWORD ShellBuf = malloc(d);
	memset(ShellBuf, 0, d);
	fread(ShellBuf, 1, d, p);
	if (!fread) {
		printf("读取失败\n");
		free(ShellBuf);
	}
	//壳子的PE
	PIMAGE_DOS_HEADER dos = NULL;
	PIMAGE_NT_HEADERS nt = NULL;
	PIMAGE_FILE_HEADER file = NULL;
	PIMAGE_OPTIONAL_HEADER opt = NULL;
	PIMAGE_SECTION_HEADER jb0 = NULL;
	dos = (PIMAGE_DOS_HEADER)ShellBuf;
	nt = (PIMAGE_NT_HEADERS)((DWORD)ShellBuf + dos->e_lfanew);
	file = (PIMAGE_FILE_HEADER)((DWORD)nt + 4);
	opt = (PIMAGE_OPTIONAL_HEADER)((DWORD)file + 20);
	jb0 = (PIMAGE_SECTION_HEADER)((DWORD)opt + 0xE0);
	printf("%x\n", file->NumberOfSections);

	//开始定位最后一个节,并且返回最后一个节的大小,这里定义一个指针进行接收节的偏移
	int x = (DWORD)file->NumberOfSections - 1;//节的数量减1
	PBYTE Cobin= ((PBYTE)ShellBuf + (jb0 + x)->PointerToRawData);//最后一个节文件中偏移的位置,也就是开始位置
	DWORD SrcSize= (jb0 + x)->SizeOfRawData;//返回最后一个节的大小
	//开始解密
	for (int i = 0; i < SrcSize; i++) {
		Cobin[i] ^= 8888;
	}

	PBYTE SrcBuf = malloc(SrcSize);
	memcpy(SrcBuf, Cobin, SrcSize);
//SRC的PE
	PIMAGE_DOS_HEADER Srcdos = NULL;
	PIMAGE_NT_HEADERS Srcnt = NULL;
	PIMAGE_FILE_HEADER Srcfile = NULL;
	PIMAGE_OPTIONAL_HEADER Srcopt = NULL;
	PIMAGE_SECTION_HEADER Srcjb0 = NULL;
	Srcdos = (PIMAGE_DOS_HEADER)SrcBuf;
	Srcnt = (PIMAGE_NT_HEADERS)((DWORD)SrcBuf + Srcdos->e_lfanew);
	Srcfile = (PIMAGE_FILE_HEADER)((DWORD)Srcnt + 4);
	Srcopt = (PIMAGE_OPTIONAL_HEADER)((DWORD)Srcfile + 20);
	Srcjb0 = (PIMAGE_SECTION_HEADER)((DWORD)Srcopt + 0xE0);

//3、以挂起的形式创建进程:CreateProcess
	STARTUPINFO si = { 0 }; //启动信息结构体
	PROCESS_INFORMATION pi;//进程信息结构体
	ZeroMemory(&pi, sizeof(pi));//给结构体赋初始值全部为0
	si.cb = sizeof(si);//启动信息结构体结构体的大小,必须写
	BOOL res = CreateProcess(
		shellpath,// 应用程序名(可执行文件)
		NULL,				// 命令行参数
		NULL,				 // 进程对象的安全属性
		NULL,				// 主线程对象的安全属性
		FALSE,				// 指示子进程是否继承父进程的句柄
		CREATE_SUSPENDED,	// 进程创建标志,控制台分开,CREATE_SUSPENDED这个参数是以挂起的形式创建一个新的进程
		NULL,				// 新的环境变量块指针
		NULL,				 // 当前目录的路径
		&si,				 // 启动信息结构体
		&pi					// 进程信息结构体
	);
	CONTEXT contest;//创建存储线程结构体
	contest.ContextFlags = CONTEXT_FULL;//获取某一段寄存器的值,要哪段就写哪段
	BOOL ok = GetThreadContext(pi.hThread, &contest);//获取线程上下文内容,也就是寄存器
	// 加载 ntdll.dll
	HMODULE hNtdll = LoadLibrary("ntdll.dll");
	if (hNtdll == NULL) {
		return 1;
	}
	typedef DWORD(WINAPI* _TZwUnmapViewOfSection)(HANDLE, PVOID);
	_TZwUnmapViewOfSection pZwUnmapViewOfSection = (_TZwUnmapViewOfSection)GetProcAddress(hNtdll, "ZwUnmapViewOfSection");
	NTSTATUS status = pZwUnmapViewOfSection(pi.hProcess, (PVOID)opt->ImageBase);
	printf("卸载成功:%d\n", status);

	//将SRC进程拉伸
	PBYTE NewSrcBuf = malloc(Srcopt->SizeOfImage);
	memset(NewSrcBuf, 0, Srcopt->SizeOfImage);
	//移动头部
	memcpy(NewSrcBuf, SrcBuf, Srcopt->SizeOfHeaders);
	printf("节数:%d\n", Srcfile->NumberOfSections);
	printf("大小:%d\n", Srcopt->SizeOfImage);
	//接下来复制节,节得复制需要根据节表提供得信息进行复制,复制次数等于节得个数
	for (int i = 0; i < Srcfile->NumberOfSections; i++) {//从文件buf 复制到imagebuf
		memcpy((LPVOID)(((DWORD)NewSrcBuf) + (Srcjb0 + i)->VirtualAddress), (LPVOID)((DWORD)SrcBuf + (Srcjb0 + i)->PointerToRawData), (Srcjb0 + i)->SizeOfRawData);
	}
	//获取SRC的IMAGEBASE 
	LONGLONG SrcImageBase = Srcopt->ImageBase;
	LONGLONG SrcImageBufferSize = Srcopt->SizeOfImage;
	// 在傀儡进程的SRC的ImageBase处申请SizeOfImage大小的内存	
	LPVOID pImageBase = VirtualAllocEx(pi.hProcess, (LPVOID)SrcImageBase, SrcImageBufferSize, MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);
	//将SRC内存镜像复制到傀儡进程4GB中	
	if (NULL == WriteProcessMemory(pi.hProcess, (LPVOID)SrcImageBase, NewSrcBuf, SrcImageBufferSize, NULL))
	{
		printf("写入源程序内存镜像失败\n");
		TerminateThread(pi.hThread, 0);
		return -1;
	}
	contest.Eax = Srcopt->AddressOfEntryPoint + SrcImageBase;
	PDWORD ebx8 = contest.Ebx + 8;
	WriteProcessMemory(pi.hProcess, &ebx8, &SrcImageBase, 4, NULL);
	SetThreadContext(pi.hThread, &contest);
	// 恢复线程	
	ResumeThread(pi.hThread);
	free(SrcBuf);
	free(NewSrcBuf);
	system("pause");
	return 0;
}

加密部分

#include<stdio.h>
#include<windows.h>
#define IMAGE_SIZEOF_SHORT_NAME
#define out			"H:\\滴水工具\\IPMsg3\\加密后.exe"	

PDWORD ReadFile1(IN LPSTR file, OUT PDWORD* BUF) {

	//读取文件				
	FILE* p = fopen(file, "rb");
	//判断打开情况				
	if (!p) {
		printf("文件打开失败\n");
	}
	//判断文件大小				
	fseek(p, 0, SEEK_END);
	int d = ftell(p);
	fseek(p, 0, SEEK_SET);
	//开始读取文件				
	char* buf = malloc(d);
	memset(buf, 0, d);
	fread(buf, 1, d, p);
	if (!fread) {
		printf("读取失败\n");
		free(buf);
	}
	*BUF = buf;
	buf = NULL;
	fclose(p);
	return d;



}

PVOID ADDjie(IN PDWORD SHELLBUF, IN DWORD filesize, IN DWORD shellsize, IN PDWORD FILEBUF) {
	if (!SHELLBUF) {
		printf("加载失败\n");
		return 0;
	}
	PIMAGE_DOS_HEADER dos = NULL;
	PIMAGE_NT_HEADERS nt = NULL;
	PIMAGE_FILE_HEADER file = NULL;
	PIMAGE_OPTIONAL_HEADER opt = NULL;
	PIMAGE_SECTION_HEADER jb0 = NULL;
	dos = (PIMAGE_DOS_HEADER)SHELLBUF;
	nt = (PIMAGE_NT_HEADERS)((DWORD)SHELLBUF + dos->e_lfanew);
	file = (PIMAGE_FILE_HEADER)((DWORD)nt + 4);
	opt = (PIMAGE_OPTIONAL_HEADER)((DWORD)file + 20);
	jb0 = (PIMAGE_SECTION_HEADER)((DWORD)opt + 0xE0);
	//申请内存时多D
	int d = filesize + shellsize;

	PDWORD NEWshellbuf = malloc(d);
	memset(NEWshellbuf, 0, d);

	//修改新增节的数据

	file->NumberOfSections = (DWORD)file->NumberOfSections + 1;
	DWORD T = ((DWORD)file->NumberOfSections - 1);
	opt->SizeOfImage = (DWORD)opt->SizeOfImage + filesize;
	(jb0 + T)->Name[IMAGE_SIZEOF_SHORT_NAME 0] = 0x2E;
	(jb0 + T)->Name[IMAGE_SIZEOF_SHORT_NAME 1] = 0x74;
	(jb0 + T)->Name[IMAGE_SIZEOF_SHORT_NAME 2] = 0x74;
	(jb0 + T)->Name[IMAGE_SIZEOF_SHORT_NAME 3] = 0x74;
	(jb0 + T)->Name[IMAGE_SIZEOF_SHORT_NAME 4] = 0x74;
	(jb0 + T)->Misc.VirtualSize = filesize;
	(jb0 + T)->VirtualAddress = (DWORD)(jb0 + (T - 1))->VirtualAddress + 0x1000;
	//(jb0 + T)->VirtualAddress = 0x20000;
	(jb0 + T)->SizeOfRawData = filesize;
	(jb0 + T)->PointerToRawData = (DWORD)(jb0 + (T - 1))->PointerToRawData + (DWORD)(jb0 + (T - 1))->SizeOfRawData;
	((jb0 + T))->Characteristics = 0x60000020;
	//memcpy(NEWshellbuf, SHELLBUF, shellsize);//这里是移动壳子,也就是shell
	memcpy(NEWshellbuf, SHELLBUF, shellsize);
	//这里原本的程序移动结束,现在开始移动加密数据,移动到最后一个节
	//存储位置是最后一个节的文件 偏移开始
	LPVOID cobin = ((DWORD)NEWshellbuf + shellsize);
	//复制位置SHELLBUF
	//复制大小D
	memcpy(cobin, FILEBUF, filesize);//这里移动SRC 移动到最后一个节得开始位置 移动大小就是filesize
   
	//存盘

	MemeryTOFile(NEWshellbuf, d, out);

}
void EnterSource(IN PBYTE SIZE, OUT PBYTE fileBUF) {

	//简单的异或加密,循环加密
	for (int i = 0; i < SIZE; i++) {
		fileBUF[i] ^= 8888;
	}
	printf("加密成功\n");
	printf("%d\n", SIZE);
}

BOOL MemeryTOFile(IN LPVOID Buffer, IN size_t size, OUT LPSTR File) {
	FILE* p1 = NULL;
	p1 = fopen(File, "wb");
	if (!p1) {
		printf("文件打开失败\n");
	}
	fwrite(Buffer, size, 1, p1);
	if (!fwrite) {
		printf("存盘失败\n");
		free(Buffer);
	}
	else
	{
		printf("存盘成功\n");
	}
	fclose(p1);
	p1 = NULL;
	return 0;

}

int main() {
	char  filename_src[256] = "H:\\滴水工具\\IPMsg3\\ipmsg.exe";
	char  filename_shell[256] = "H:\\C语言学习\\加壳项目解密部分\\Debug\\加壳项目解密部分.exe";
	//char  filename_shell[256] = "H:\\C语言学习\\解密1\\Debug\\解密1.exe";
	//char  filename_shell[256] = "H:\\C语言学习\\解密壳部分\\Debug\\解密壳部分.exe";
	PDWORD filebuf = NULL;
	DWORD filesize = NULL;
	PDWORD shellbuf = NULL;
	DWORD shellsize = NULL;

	filesize = ReadFile1(filename_src, &filebuf);
	shellsize=ReadFile1(filename_shell, &shellbuf);


	//加密
	EnterSource(filesize, filebuf);
	//放到节后面
	ADDjie(shellbuf, filesize, shellsize, filebuf);
	return 0;
}

2301_76355933
关注
加壳工具 Themida 2.2.9.0 (TMD加壳工具)
03-18
加壳工具,如Themida 2.2.9.0(TMD加壳工具),是IT行业中用于软件保护的一种重要技术。它的工作原理是通过在原始可执行文件(PE文件)周围添加一层外,以此来隐藏和混淆程序的原始代码,增加逆向工程的难度。在...
滴水三期完整版(96课时)
04-20
第1讲:2015-01-12(进制01) 第2讲:2015-01-13(进制02) 第3讲:2015-01-14(数据宽度-逻辑运算03) 第4讲:2015-01-15(通用寄存器-内存读写04) 第5讲:2015-01-16(内存寻址-堆栈05) 第6讲:2015-01-19(EFLAGS...
PE——滴水项目
CSDN-ych
05-17 2049
滴水项目 滴水的教程对于我的编程学习影响是巨大的,感觉滴水的教程对于编程学习的方方面面都有涉及到,例如:汇编,C/C++,编译原理中的栈管理,操作系统,数据结构等等,而且还涉及到各种工具的使用,感觉是一门适合打好基础的好课程,在B站上看到的免费课程,如果没有了可以去淘宝赞助一下滴水官方。 滴水项目是滴水课程的最后几个实验之一,也是比较难的几个实验之一,在本篇博客中主要解析一下滴水的实现过程 滴水的代码主要包括两部分:一部分用来加密,一部分用来解密 加密部分主要实现的功能就是: 我们首先需要知道
滴水逆向三期 win10 ASLR UnmapViewOfSection傀儡进程 加密项目
四位的博客
12-27 2462
特意加了一个win10标题, 碰到0xc0000005的朋友就不要再浪费时间了, 我在这个问题上花了整整一天 概要 利用挂起创建进程, 然后卸载源程序(以下统称src)镜像(ps: 非必须选项),
Win32 加密_说明
lygl35的博客
03-11 203
滴水逆向三期笔记和作业-c语言总结2
weixin_44449397的博客
01-18 1509
正向基础,循环语句,参数_返回值_局部变量_数组反汇编,多维数组,结构体
滴水逆向三期笔记和作业-c语言总结1
weixin_44449397的博客
01-18 1860
裸函数,调用约定,if语句,if语句逆向
滴水逆向三期实践13:移动导出表
Rivival_S 的博客
10-28 1110
为什么要移动各种表? 1、这些表是编译器生成的,里面存储了非常重要的信息。 2、在程序启动的时候,系统会根据这些表做初始化的工作: 比如,将用到的DLL中的函数地址存储到 IAT 表中(IAT表后面会讲) 3、为了保护程序,可以对.exe的二进制代码进行加密操作,但问题是: 我们知道数据目录的各种表是存在各个节里的,而exe的代码的信息也是在节里,表与客户字节的代码和数据都混在一起了,如果进行加密(加壳),那系统在初始化的时候会出问题! 综上,学会移动各种表,是对程序加密/破解的基础。 移动导
滴水三期:day24.2-函数指针
Edimade的博客
04-27 304
一、函数指针(1.函数指针的声明与赋值>2.函数指针的使用>3.函数指针的属性探测>4.隐藏代码到数据区)>二、作业
易语言UPX编译自动加壳
07-23
开发者需要知道如何在易语言中执行外部命令,如调用UPX的命令行接口,指定输入文件(未加壳的程序)、输出文件(加壳后的程序)以及加壳参数。此外,为了使加壳过程更加智能,可能还需要获取程序的安装目录,以便将...
ACProtect2.0加壳工具
09-28
ACPProtect 最好用的加壳工具,亲测好用无毒
易语言文件加壳
07-22
在本文中,我们将深入探讨易语言如何实现文件加壳,以及加壳技术的相关知识。 文件加壳技术的核心是将原始的可执行文件(如.exe或.dll)包裹在一个外程序中,这个外程序负责加载和运行原始文件。这样做的好处...
电学基础概念详解及三相电公式汇总
最新发布
jmlinux的博客
09-14 497
本文全面介绍了电路的基本组成、电学核心概念以及三相电的常用公式。首先,通过水力学中的现象类比,生动解释了电路中电池、开关、电阻和灯泡等元素的功能,帮助读者更好地理解电压、电流和电阻之间的关系。随后,详细阐述了电路的基本概念,包括电路的三种状态(通路、断路、短路)、电阻的计算公式及欧姆定律、电动势、电流、电压等关键概念。此外,还介绍了电容、电感、滞后与超前、相序、频率等进阶概念,并详细解释了有功功率、无功功率和视在功率的定义及其计算公式。文章汇总了三相电系统中常用的计算公式,包括三相各相电压等。
【浅谈】单片机基本概念
weixin_44006573的博客
09-14 788
一个单片机系统,就是一个微型化的计算机。 主要包括:中央处理器CPU、存储器、输入/输出(I/O)设备。 个人计算机是将这些模块分成若干个芯片或模块,安装在主板上, 而单片机是将这些部分集成到一颗芯片中。
物联网——USART协议
Vodka的博客
09-11 427
【代码】物联网——USART协议。
单片机拍照_将采集的RGB图像封装为BMP格式保存到SD卡
09-11 1424
当前做的项目是采用STM32F103ZET6单片机接上OV7725(带FIFO)摄像头实现图像采集,拍照功能。 OV7725摄像头输出的格式是RGB565像素格式,为了方便将OV7725摄像头返回的图像数据放在SD卡里存储,并且能够在电脑上打开,通过图片查看软件查看。就需要将RGB565像素数据封装成一张图片格式,也就是相当于加一个子。这样电脑上的图片查看器就可以正常查看图片了。
什么是上拉,下拉?
ddidi111的博客
09-14 339
4、对于非集电极(或漏极)开路输出型电路(如普通门电路)提升电流和电压的能力是有限的,上拉电阻的功能主要是为集电极开路输出型电路输出电流通道。,其作用主要是确保某端口常态时有确定电平:用法示例:当一个接有上拉电阻的端口设为输入状态时,他的常态就为高电平,用于检测低电平的输入。3、一般说的是I/O端口,有的可以设置,有的不可以设置,有的是内置,有的是需要外接,I/O端口的输出类似于。给负载提供的输出电流,灌电流时输出低电平是外部给数字电路的输入电流,它们实际就是输入、输出电流能力。电阻同时起限流作用!
智能家居系统(基于STM32F103C8T6标准库+FreeRTOS+Qt串口开发实现)
xuhc_zd的博客
09-05 2102
基于STM32F103C8T6标准库+FreeRTOS+Qt串口开发实现的智慧家居项目:支持本地开关灯、开关风扇、播放与停止音乐,上位机开关灯、开关风扇、播放与停止音乐,Qt开发串口实现温湿度、亮度上报与采集。
Android平台安全加载技术:突破版本限制的加壳实现
这篇文档是关于Android平台上的软件加壳技术,特别是针对Dex文件的加壳方法。加壳技术通常用于提高软件的安全性,通过将程序的核心功能模块加密,防止恶意攻击者逆向工程分析或篡改。文章提到了两种流行但存在局限性...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值