win32asm 自定义代码段加密解密

最新推荐文章于 2021-09-03 01:16:00 发布
最新推荐文章于 2021-09-03 01:16:00 发布
阅读量230 收藏
点赞数
分类专栏: asm 文章标签: 加密解密 代码段加密 新增节
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dashoumeixi/article/details/118942283
版权

没有做各种错误处理和异常处理,以及如果失败需要还原属性

一个简单的例子

1.新增一个节用于解密代码段, 写入解密字节码,用于还原代码段

2.找到入口所在的代码段,加密

3.修改入口点指向新增节,修改.text属性加上可写

执行流程, 新节->解密还原代码段->跳转代码段

使用的exe是:win32asm 自定义PE头

由于exe使用的文件对齐是0x1000,下面代码中虽然写了512字节.经过函数计算还是会使用4096字节

解密汇编:

00405000 >  60              pushad
00405001    BE 00104000     mov esi,0x401000
00405006    B9 00100000     mov ecx,0x1000
0040500B    8036 CC         xor byte ptr ds:[esi],0xCC
0040500E    46              inc esi
0040500F  ^ E2 FA           loopd short 0040500B                    
00405011    61              popad
00405012    BB 00104000     mov ebx,0x401000
00405017  - FFE3            jmp ebx
00405019    90              nop



#define _CRT_SECURE_NO_WARNINGS

#include <Windows.h>
#include <iostream>
using std::cout;
using std::endl;

IMAGE_SECTION_HEADER * find_section(void * mem, DWORD rva) {
	IMAGE_DOS_HEADER * dos = (IMAGE_DOS_HEADER *)mem;
	IMAGE_NT_HEADERS * nt = (IMAGE_NT_HEADERS*)((DWORD)dos + dos->e_lfanew);
	int n = nt->FileHeader.NumberOfSections;
	IMAGE_SECTION_HEADER * sec = 0;
	IMAGE_SECTION_HEADER * header = IMAGE_FIRST_SECTION(nt);


	for (int i = 0; i < n; ++i) {
		if (rva >= header->VirtualAddress && rva < header->VirtualAddress + header->SizeOfRawData) {
			sec = header;
			break;
		}
		header++;
	}

	return sec;
}

DWORD calc_mem_section_size(void * mem,DWORD raw_size) {
	IMAGE_DOS_HEADER * dos = (IMAGE_DOS_HEADER*)mem;
	IMAGE_NT_HEADERS * nt = (IMAGE_NT_HEADERS *)((DWORD)dos + dos->e_lfanew);
	DWORD new_section_size = 0;

	if (raw_size <= nt->OptionalHeader.SectionAlignment)
		new_section_size = nt->OptionalHeader.SectionAlignment;
	else {
		new_section_size = raw_size / nt->OptionalHeader.SectionAlignment * nt->OptionalHeader.SectionAlignment;
		if (raw_size % nt->OptionalHeader.SectionAlignment != 0)
			new_section_size += nt->OptionalHeader.SectionAlignment;
	}
	return new_section_size;
}

DWORD calc_file_section_size(void * mem, DWORD raw_size) {
	IMAGE_DOS_HEADER * dos = (IMAGE_DOS_HEADER*)mem;
	IMAGE_NT_HEADERS * nt = (IMAGE_NT_HEADERS *)((DWORD)dos + dos->e_lfanew);
	DWORD new_section_size = 0;
	if (raw_size <= nt->OptionalHeader.FileAlignment)
		new_section_size = nt->OptionalHeader.FileAlignment;
	else {
		new_section_size = raw_size / nt->OptionalHeader.FileAlignment  * nt->OptionalHeader.FileAlignment;
		if (raw_size % nt->OptionalHeader.FileAlignment != 0)
			new_section_size += nt->OptionalHeader.FileAlignment;
	}


	return new_section_size;
}



DWORD add_section(void * mem, const char * section_name, DWORD raw_section_size,DWORD mode) {
	
	IMAGE_SECTION_HEADER * new_section = 0;
	__try {
		IMAGE_DOS_HEADER * dos = (IMAGE_DOS_HEADER*)mem;
		IMAGE_NT_HEADERS * nt = (IMAGE_NT_HEADERS *)((DWORD)dos + dos->e_lfanew);
		IMAGE_SECTION_HEADER * sec = IMAGE_FIRST_SECTION(nt);
		WORD n_sections = nt->FileHeader.NumberOfSections;

		// 构建一个节
		new_section = (IMAGE_SECTION_HEADER*)((DWORD)sec + n_sections * sizeof(IMAGE_SECTION_HEADER));
		IMAGE_SECTION_HEADER * last_section = (IMAGE_SECTION_HEADER*)((DWORD)sec + (n_sections - 1) * sizeof(IMAGE_SECTION_HEADER));
		strcpy((char*)new_section->Name, section_name);
		new_section->Misc.VirtualSize = raw_section_size;//真实字节,未对齐

		DWORD last_section_size = calc_mem_section_size(mem, last_section->SizeOfRawData);// 内存对齐字节
		DWORD new_section_size = calc_mem_section_size(mem, raw_section_size);
		DWORD new_raw_section_size = calc_file_section_size(mem, raw_section_size);
		new_section->VirtualAddress = last_section->VirtualAddress + last_section_size;
		new_section->SizeOfRawData = new_raw_section_size;
		new_section->PointerToRawData = last_section->PointerToRawData + last_section->SizeOfRawData;
		new_section->Characteristics = mode;

		// 修改节数量,增加映像大小
		++nt->FileHeader.NumberOfSections;
		nt->OptionalHeader.SizeOfImage += new_section_size;

	}
	__except (EXCEPTION_EXECUTE_HANDLER) {
		return 0;
	}

	return (DWORD)new_section;
}

void encrypt_source_code(void * source_code,DWORD size) {

	//简易加密,直接异或CC
	unsigned char ecode = 0xCC;
	unsigned char * source_begin = (unsigned char *)source_code;
	for (DWORD i = 0; i < size; ++i) {
		*source_begin++ ^= ecode;
	}
}

bool encrypt_code_segment(void * mem,HANDLE hFile) {
	//以下代码并未考虑异常以及如果失败了需要还原属性
	//找到代码段所属的节
	char write_bin_unpack_code[] = { 0x60,0xBE,0x00,0x10,0x40,0x00,0xB9,0x00,0x10,0x00,0x00,0x80,0x36,0xCC,0x46,0xE2,0xFA,0x61,0xBB,0x00,0x10,0x40,0x00,0xFF,0xE3,0x90 };

	IMAGE_DOS_HEADER * dos = (IMAGE_DOS_HEADER *)mem;
	IMAGE_NT_HEADERS * nt = (IMAGE_NT_HEADERS *)((DWORD)dos + dos->e_lfanew);
	DWORD ep = nt->OptionalHeader.AddressOfEntryPoint;//入口点
	IMAGE_SECTION_HEADER * sec = find_section(mem, ep);
	if (0 == sec)
		return false;
	sec->Characteristics |= IMAGE_SCN_MEM_WRITE;//修改代码段属性

	void * source_code = (void*)((DWORD)mem+ sec->PointerToRawData);
	//加密
	encrypt_source_code(source_code, sec->SizeOfRawData);


	//新增一个节
	char new_sec_name[] = ".unpack"; // 名字
	DWORD mode = 0xE0000040; // 属性
	DWORD nWritten = 0;
	DWORD new_sec_size = 512; //新节大小,实际根据函数计算得出
	unsigned char other_bin = 0xCC;
	IMAGE_SECTION_HEADER * new_sec = (IMAGE_SECTION_HEADER*)add_section(mem, new_sec_name, new_sec_size, mode);
	if (0 == new_sec)
		return false;
	
	SetFilePointer(hFile, new_sec->PointerToRawData, 0, FILE_BEGIN);
	WriteFile(hFile, write_bin_unpack_code, sizeof(write_bin_unpack_code), &nWritten, 0);

	int iLeftSize = new_sec->SizeOfRawData - nWritten;
	void * pmem = malloc(iLeftSize);
	unsigned char * pdata = (unsigned char *)pmem;
	for (int i = 0; i < iLeftSize; ++i) {
		*pdata++ = other_bin;
	}
	WriteFile(hFile, pmem, iLeftSize, &nWritten, 0);
	
	nt->OptionalHeader.AddressOfEntryPoint = new_sec->VirtualAddress; // 修改入口点
    free(pmem);
	return true;
}


void encrypt__(TCHAR * filename) {
	HANDLE hFileHandle = 0;
	HANDLE hMap = 0;
	void * mem = 0;
	DWORD err = 0;

	__try {
		hFileHandle = CreateFile(filename, GENERIC_READ | GENERIC_WRITE, FILE_SHARE_READ, 0, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, 0);
		if (INVALID_HANDLE_VALUE == hFileHandle) {
			err = 1;
			__leave;
		}
		hMap = CreateFileMapping(hFileHandle, 0, PAGE_READWRITE, 0, 0, 0);
		if (0 == hMap) {
			err = 2;
			__leave;
		}

		mem = MapViewOfFile(hMap, FILE_MAP_READ | FILE_MAP_WRITE, 0, 0, 0);
		if (0 == mem) {
			err = 3;
			__leave;
		}

		if (!encrypt_code_segment(mem, hFileHandle)) {
			err = 4;
			__leave;
		}



	}
	__finally {
		UnmapViewOfFile(mem);
		CloseHandle(hMap);
		CloseHandle(hFileHandle);
		if (err != 0) {
			cout << err << endl;
		}
	}
}
__xa__
关注
专栏目录
RSA.rar_rsa asm_rsa assembly_rsa 加密 ASM 代码_加密_加密 汇编
09-23
用于RSA加密的汇编语言源代码,只能对数值进行加密
Win32Asm教程
weixin_34054931的博客
05-28 196
  导言先来对这个教程做个小小的介绍。Win32Asm不是一个非常流行的编程语言,而且只有为数不多(但很好)的教程。大多数教程都集中在编程的win32部分(例如,WinAPI,标准Windows编程技术的使用等),而不是汇编语言本身,例如伪代码(opcodes),寄存器(registers)的使用等。虽然你能在其他教程中找到这些内容,但那些教程通常是解释Dos编程的。它当然可以帮你学习汇编语言,...
Win32Asm 教程(二)
ann__1121的博客
06-13 180
前一章 目录 后一章 1.0-介绍汇编语言 汇编语言是创造出来代替原始的只能由处理器理解的二进制代码的。很久以前,尚没 有任何高级语言,程序都是用汇编写的。汇编代码直接描述处理器可以执行的代码, 例如: add eax,edx add这条指令把两个值加到一起。eax和edx被称为寄存器,它们可以在处理器内部保 存值。这条代码被转换为66 03 c2(16进制)。处理器阅读这行代码,并执行...
浅谈代码加密原理(防止静态分析)
Mentally_slow的博客
09-11 645
在软件安全里,有一种保护手加密,一般情况下都是为代码加密,使原本的代码无法被静态分析,只能动态调试。 涉及到的知识有:PE文件结构,代码重定位,shellcode。 代码加密时可用各种算法组合起来使用,只要保证解密时用逆推的方法还原成源代码即可,下面例子当中用的是最简单的异或加密 由于博主也是第一次接触这个代码加密,有写的不对或者不够的地方,还麻烦大佬指正。感谢!! 思路: 1.获取代码内容,进行加密后再覆盖回去 2.把重定位去掉,目的使重定位发生的时机在解密之后,否则解密的数据是已经被重定位过的
win32asm 自定义添加可执行代码
x
09-03 139
C版本:win32asm 自定义代码加密解密 C版本没做新增等各种检查 1. 把一可执行代码插入进另一个程序中 2.插入的代码需要自定位 3. 3.1 如果被插入的程序有空间可以新增一个表 则加入表,对新增表赋值(需对齐大小), 写入需要新增代码 修正: FileHeader.NumberOfSections ++, OptionalHeader.SizeOfIm...
汇编语言全接触 WIN32ASM
05-14
因此,学习WIN32ASM意味着你需要了解如何在汇编代码中使用这些函数,如CreateWindow、WriteFile等。 文档“汇编语言全接触.chm”很可能包含以下内容: 1. 汇编基础:涵盖基本的指令集、数据类型、寄存器使用以及...
汇编语言全接触(8086,80386解密,加密,win32)
10-03
和 16 位 Windows 下的把代码分成 DATA,CODE 等的内存模式不同,WIN32 只有一种内存模式,即 FLAT 模式,意思是"平坦"的内存模式,再没有 64K 的大小限制,所有的 WIN32 的应用程序运行在一个连续、平坦、巨大...
白日门手游luac文件加密怎么解密_浅析android手游lua脚本的加密与解密
weixin_28877505的博客
02-05 3565
2018.05.02更新这时间在翻备份的硬盘,突然发现了以前的分析项目和代码,从里面提取了之前附件的内容,现在上传给大家,真是柳暗花明又一村啊。附件包括201703版本的梦幻手游里面提取的so文件和一些加密后的资源文件(包括lua脚本),并包括了2个扑鱼APK文件,最后还打包了解密代码,供大家参考。附件太大,快100MB,上传不来论坛,我又放到百度网盘了......链接:https://pan....
利用ASM加密Jar包字符串
ZhangJian的博客
03-29 2006
ASM加密Jar包字符串
masm win32asm.
05-29
masm win32asm.
win32asm例子
12-09
win32 汇编MASM 例子供自己学习,也欢迎大家下载。
经典汇编教程Win32Asm教程
03-20
先来对这个教程做个小小的介绍。Win32Asm不是一个非常流行的编程语言,而且只有为数不多(但很好)的教程。大多数教程都集中在编程的win32部分(例如,WinAPI,标准Windows编程技术的使用等),而不是汇编语言本身,例如伪代码(opcodes),寄存器(registers)的使用等。虽然你能在其他教程中找到这些内容,但那些教程通常是解释Dos编程的。它当然可以帮你学习汇编语言,但在Windows中编程,你不再需要了解Dos中断(interrupt)和端口(port)In/Out函数。在Windows中,WindowsAPI提供了你可在你的程序中使用的标准函数,后面还会对此有更多内容。这份教程的目的是在解释用汇编编Win32程序的同时学习汇编语言本身
汇编Win32ASM 开发工具
04-16
汇编开发工具,内含环境配置。 很好用的。
【我的ASM学习进阶之旅】 介绍基于ByteX开发的练手的ASM插件EncryptString并使用该插件对应用程序中的字符串值进行加密
字节卷动
02-04 634
文章【我的ASM学习进阶之旅】 如何基于ByteX快速上手,开发你自己的ASM插件? 中介绍了如何基于ByteX快速上手, 现在介绍一个基于ByteX开发的ASM插件EncryptString插件。 一、EncryptString插件介绍 1.1 功能 EncryptString插件的功能是:对应用程序中的字符串值进行加密。 1.2 用法 在项目的根目录下的 build.gradle 文件中添加该插件的对应配置 classpath "net.mikaelzero.bytetea:encrypt-string
Win32ASM原理 (转)
csd3176的博客
12-09 113
Win32ASM原理 (转)[@more@] 指南一:win32asm原理 (中文翻译:肖德时) XML:namespace prefix = o ns = "urn:schemas-microsoft-com:Offic...
Win32Asm教程(基础篇)
augvii的专栏
03-14 655
****************************************************************来源: http://www.dav1d.org/原作者:taowen 如果你想继续深造的话,你可以参考如下资料:书名:Windows 环境下32位 汇编语言程序设计编著:罗云彬出版社:电子工业出版社****************************
Win32Asm快速教程
cc的专栏
10-20 700
Win32Asm快速教程
Win32ASM学习笔记(五)
期待下集是个可爱梦儿
02-24 598
Win32ASM学习笔记(五)相关链接:Win32 ASM学习笔记(一)Win32 ASM学习笔记(二)Win32 ASM学习笔记(三)Win32 ASM学习笔记(四)程序中子程序调用:1>     子程序名 proc [距离][语言类型][可视区域][USES寄存器列表][,参数:类型]…[VARARG]         local 局部变量列表…..指令子程序名 endp2>     proc 和endp 伪指令定义了子程序开始和结束的位置,proc后面跟的参数是子程序的属性和输入参数。子程序的属性:a
使用ODBC进行win32asm数据库编程入门
"这篇教程介绍了ODBC(Open Database Connectivity)的基础知识,它是Microsoft提供的一族API,用于在Win32环境下实现与多种不同数据库的统一交互。教程特别针对使用汇编语言进行数据库编程的场景,指出通过ODBC,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值