让侦测工具把壳识别为VC++7.0的源代码(自动版)

最新推荐文章于 2022-11-14 12:16:43 发布
最新推荐文章于 2022-11-14 12:16:43 发布
阅读量705 收藏
点赞数
分类专栏: Delphi PE结构编程 文章标签: vc++ 工具 button image header dos

//获取程序入口点;

 

看了LiNSoN兄"让侦测工具把壳识别为VC++",还不错,可惜是手动的...
于是我顺手写了程序自动完成这一工作,经实验现在可以把不带CRC32的壳成功
伪装,如果壳带有CRC32就不行了
现帖出源代码,与大家共享,有兴趣的可以加以改进
程序不复杂,我就直接帖出来了

{
   Author: xIkUg
   Email: xikug@163.com
   HOMEPAGE: http://www.xp-program.com
   Description: 把PE程序伪装为VC7.0编译的
}
unit uMain;

interface

uses
   Windows, Messages, SysUtils, Variants, Classes, Graphics, Controls, Forms,
   Dialogs, StdCtrls;

type
   TForm1 = class(TForm)
     Label1: TLabel;
     edFName: TEdit;
     Button1: TButton;
     Label2: TLabel;
     edOEP: TEdit;
     Button2: TButton;
     Button3: TButton;
     Button4: TButton;
     Button5: TButton;
     OpenDialog1: TOpenDialog;
     procedure Button5Click(Sender: TObject);
     procedure Button4Click(Sender: TObject);
     procedure Button1Click(Sender: TObject);
     procedure Button2Click(Sender: TObject);
     procedure Button3Click(Sender: TObject);
   private
     { Private declarations }
     FImageBase: DWORD;
   
   public
     { Public declarations }
   end;

   THEAD = array [0..63] of byte;

var
   Form1: TForm1;

const
   MYSECTION = 'xIkUg';
 
   JMPOFF = 43;
 
   //这个是HEAD.asm中的代码的机器码
   OEPCODE: THEAD = ($55, $8B, $EC, $6A, $FF, $68, $2A, $2C, $0A, $00, $68, $38,
                     $90, $0D, $00, $64, $A1, $00, $00, $00, $00, $50, $64, $89,
                     $25, $00, $00, $00, $00, $58, $64, $A3, $00, $00, $00, $00,
                     $58, $58, $58, $58, $8B, $E8, $B8, $00, $10, $40, $00, $FF,
                     $E0, $90, $00, $00, $00, $00, $00, $00, $00, $00, $00, $00,
                     $00, $00, $00, $00);

procedure AddSection(FName: string);       //新加一个Section,并把OEPCode写进去

implementation

{$R *.dfm}

procedure TForm1.Button5Click(Sender: TObject);
begin
   Close;
end;

procedure TForm1.Button4Click(Sender: TObject);
begin
   MessageBox(Handle, 'Author: xIkUg' + #10#13 +
     'Email: xikug@163.com' + #10#13 +
     'HOMEPAGE: http://www.xp-program.com',
     'About', MB_OK);
end;

procedure TForm1.Button1Click(Sender: TObject);
begin
   if OpenDialog1.Execute then
   begin
     edFName.Text := OpenDialog1.FileName;
   end;
end;

procedure TForm1.Button2Click(Sender: TObject);
var
   DOSHEADER: IMAGE_DOS_HEADER;
   PEHEADER: IMAGE_NT_HEADERS;
   fs: TFileStream;

begin
   fs := TFileStream.Create(edFName.Text, fmOpenReadWrite +
     fmShareDenyWrite);
   try
     fs.Seek(0, soFromBeginning);
     fs.Read(DOSHEADER, sizeof(DOSHEADER));
   
     fs.Seek(DOSHEADER._lfanew, soFromBeginning);
     fs.Read(PEHEADER, sizeOf(PEHEADER));
     FImageBase := PEHEADER.OptionalHeader.ImageBase;
     edOEP.Text := IntToHex(PEHEADER.OptionalHeader.AddressOfEntryPoint, 8);
   finally
     fs.Free;
   end;
end;

procedure AddSection(FName: string);
var
   DOSHEADER: IMAGE_DOS_HEADER;
   PEHEADER: IMAGE_NT_HEADERS;
   SectionHeader: IMAGE_SECTION_HEADER;
   MySectionHeader: IMAGE_SECTION_HEADER;
   fs: TFileStream;

   AddressOfEntryPoint: DWORD;
 
begin
   fs := TFileStream.Create(FName, fmOpenReadWrite +
     fmShareDenyWrite);
   try
     fs.Seek(0, soFromBeginning);
     fs.Read(DOSHEADER, sizeof(DOSHEADER));
   
     fs.Seek(DOSHEADER._lfanew, soFromBeginning);
     fs.Read(PEHEADER, sizeOf(PEHEADER));

     fs.Seek(sizeOf(SectionHeader) *
       (PEHEADER.FileHeader.NumberOfSections - 1), soFromCurrent);

     fs.Read(SectionHeader, sizeof(IMAGE_SECTION_HEADER));

     MySectionHeader.Name[0] := ord('x');
     MySectionHeader.Name[1] := ord('I');
     MySectionHeader.Name[2] := ord('k');
     MySectionHeader.Name[3] := ord('U');
     MySectionHeader.Name[4] := ord('g');
     MySectionHeader.Name[5] := 0;
     MySectionHeader.Name[6] := 0;
     MySectionHeader.Name[7] := 0;

     MySectionHeader.VirtualAddress := PEHEADER.OptionalHeader.SizeOfImage;
     MySectionHeader.Misc.VirtualSize := $200;
     MySectionHeader.SizeOfRawData := (MySectionHeader.VirtualAddress div
       PEHEADER.OptionalHeader.FileAlignment + 1) * PEHEADER.OptionalHeader.FileAlignment -
       PEHEADER.OptionalHeader.SizeOfImage;
     MySectionHeader.PointerToRawData :=
       SectionHeader.SizeOfRawData+SectionHeader.PointerToRawData;
     MySectionHeader.Characteristics := $e0000020;

     Inc(PEHEADER.FileHeader.NumberOfSections);
     fs.Write(MySectionHeader, sizeOf(MySectionHeader));

     fs.Seek(DOSHEADER._lfanew, soFromBeginning);

     AddressOfEntryPoint := PEHEADER.OptionalHeader.AddressOfEntryPoint;

     PEHEADER.OptionalHeader.AddressOfEntryPoint :=
       MySectionHeader.VirtualAddress;

     PEHEADER.OptionalHeader.MajorLinkerVersion := 7;
     PEHEADER.OptionalHeader.MinorLinkerVersion := 0;
     AddressOfEntryPoint := AddressOfEntryPoint +
       PEHEADER.OptionalHeader.ImageBase;

     asm
       PUSHAD
       LEA eax, OEPCODE
       ADD eax, JMPOFF
       MOV edx, AddressOfEntryPoint

       MOV DWORD ptr [eax], edx
       POPAD
     end;

     PEHEADER.OptionalHeader.SizeOfImage :=
       PEHEADER.OptionalHeader.SizeOfImage + MySectionHeader.Misc.VirtualSize;
     
     fs.Write(PEHEADER, sizeof(PEHEADER));


     fs.Seek(fs.Size, soFromBeginning);
     fs.Write(OEPCODE, MySectionHeader.Misc.VirtualSize)
   finally
     fs.Free;
   end;
end;

procedure TForm1.Button3Click(Sender: TObject);
begin
   //伪装
   if trim(edFName.Text) = '' then
   begin
     MessageDlg('请先选择一个可执行文件', mtError, [mbOK], 0);
     Exit;
   end;

   //这段其实是不需要的,我懒得删了,看看也不错
   if trim(edOEP.Text) = '' then
   begin
     MessageDlg('请先获取程序入口点', mtError, [mbOK], 0);
     Exit;
   end;

   AddSection(edFName.Text);             //伪装
   MessageDlg('伪装成功!', mtInformation, [mbOK], 0);
end;

end.
head.asm的代码

.386
.MODEL FLAT,STDCALL

.code

main:
   assume fs:nothing
   push ebp
   mov ebp,esp
   push -1
   push 666666
   push 888888
   mov eax,fs:[0]
   push eax
   mov fs:[0],esp

   pop eax
   mov fs:[0],eax
   pop eax
   pop eax
   pop eax
   pop eax
   mov ebp,eax
   mov eax, 00401000H
   jmp eax
end main

god00
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PLC 上位机 算法 开源 源代码 开源 方案 品牌 历经十年升级改造 数代更新 梯形算法全部公开 梯形转指令表的算法源代码
云海唯C的专栏
07-29 1546
1.上位机全套源代码,没有任何库密封,使用VC编译器打开,编译运行无任何错误。5.下位机扩展模块,包括数字量,模拟量,集电极,晶体管等模块。•对用户的错误操作尽可能地予以屏蔽、提示,体贴用户的操作。4.下位机扩展模块PCB,原理。2.下位机主机PCB,原理。3.下位机主机源代码。...
VC7.0安装
edonzhon
12-07 1778
先在官网下载 https://download2.vmware.com/software/vi/vSphere70U3/VMware-VCSA-all-7.0.3-18700403.iso?HashKey=a4ab8db940cf98b9ddd49fceff7a62c2&params=%7B%22custnumber%22%3A%22dGRwaiVlQCpAKg%3D%3D%22%2C%22sourcefilesize%22%3A%228.86+GB%22%2C%22dlgcode%22%3A%2
PLC梯形编译器源代码
08-15
PLC梯形编译器源代码,可以供大家参考。
PLC梯行编译器 VC源码
01-15
PLC是工业程序控制器,国外产品目前占据主要市场,这是一款PLC控制器的梯形编译器源代码,可帮助你将梯形编译,可进一步升级完善它,VC7环境以上编译
[开源] PLC梯形转指令表的算法源代码
热门推荐
Koma的主页
04-19 1万+
今晚确实很纠结的,七点多回家,项目经理打电话过来,明后天由于公司电力网络维护故休假两天,杯具! 更杯具的:到了九点多,又一电话敲过来,明后天XXO正常上班...... ////////////////////////////////////////////////////////////////////////////////////////////////////////////
scratch编程项目源代码文件案例素材-忍者 无敌.zip
05-16
在这个"忍者 无敌"的项目中,我们将探讨一个基于Scratch的编程游戏案例,它包含了源代码和相关的素材。 首先,"sb2"文件是Scratch项目的二进制格式,包含了所有的编程块、角色、背景、声音和项目设置等信息。当你...
Scratch少儿编程项目源代码文件案例-Q泡泡堂.zip
最新发布
01-15
Scratch是一款由麻省理工学院(MIT)媒体实验室“终身幼儿园团队”开发的形化编程工具,专为儿童设计,旨在培养他们的逻辑思维能力和创新能力。这个"Scratch少儿编程项目源代码文件案例-Q泡泡堂.zip"是一个使用...
scratch编程项目源代码文件案例素材-自动扫地机.zip
05-16
本压缩包“scratch编程项目源代码文件案例素材-自动扫地机.zip”包含了使用Scratch制作的一个游戏案例——自动扫地机的源代码。这个项目非常适合少儿趣味编程教学,让孩子们在玩耍中学习编程基础知识。 自动扫地机...
少儿scratch编程项目源代码文件案例素材-自动扫地机.zip
11-09
本压缩包文件“少儿scratch编程项目源代码文件案例素材-自动扫地机.zip”提供了一个生动有趣的编程实例——自动扫地机,适合初学者学习和探索。 在“自动扫地机.sb3”这个文件中,我们可以看到一个完整的项目,它...
自动感应吸尘器-少儿编程scratch项目源代码文件案例素材.zip
11-09
3. **侦测与条件判断**:为了让吸尘器能识别并清理“垃圾”,需要用到“碰到”或“在附近”的条件判断语句,当吸尘器靠近或接触垃圾时执行清理动作。 4. **交互与反馈**:游戏可能包含声音效果或视觉反馈,例如...
visual C++ 7.0完整安装程序
02-24
Microsoft Visual C++ 7.0 完整安装程序,Microsoft Visual C++ 7.0 完整安装程序,
WTL完整(支持VC++7.0到最新VC++11.0)
07-22
如果打算写一个Win32 界面程序,我建议您在考虑MFC之前,先试试WTL.使用WTL来写您的代码, 程序将变得小巧些,也更有效率些.使用WTL, 还将得到ATL支持COM好处. 支持VS2005.2008,2010,2012
VS2010写的PEinfo(PE文件查看器)源码.rar
07-10
学习了某论坛的解密系列教程,使用Visual Studio 2010写的PEinfo(PE文件信息查看器),实现了启动软件的‘闪屏’功能,就是打开软件时先出一个片,片消失后再出程序界面,附全套源码,欢迎一起学习和研究。
通过修改exe的PE头中的VC编译本号使VC11编译的程序exe能够在低本的VC6运行时库下运行,前提是不能使用VC11才有的API.zip
01-14
通过修改exe的PE头中的VC编译本号使VC11编译的程序exe能够在低本的VC6运行时库下运行,前提是不能使用VC11才有的API.zip
UPX外全部源代码
09-20
下了就要顶。。。。。 进度条的显示方法其实可以用傻瓜的方式来显示,这里给个提示,我懒得做了: 运行UPX之后隐藏窗口,然后用API找到窗口,读出进度条字符的数量(位置),根据具体数目来实现显示进度条。
vCenter7.0.0升级到vCenter7.0u3h
WINDOWS SERVER 2003使用组策略禁用U盘
11-14 3082
17:升级期间可能会退出升级界面出现登录的界面,但是在登录时出现Exception in invoking authentication handler unidentifiable C++ exception问题,或者其他问题,不要急这个是升级还没有完成,所以不要着急登录。4:登录vCenter给现有的vCenter打一个快照,一旦升级发现问题可以使用快照恢复。5: 编辑vCenter的设置,在CD/DVD中选择数据存储ISO文件,找到之前上传的文件,并勾选连接。8:接受协议,一下步,开始安装前的检查。
VC程序的SECTION(3):.text
嵌云阁
08-18 2769
快乐虾http://blog.csdn.net/lights_joy/lights@wo.com.cn 本文适用于Xp sp3 / Vs2008  欢迎转载,但请保留作者信息 这个节看起来很容易理解,不就是存放代码的嘛,看看头信息:SECTION HEADER #2   .tex
程序无认知
weixin_41028621的博客
03-04 553
本文目的认识不同程序无的状态 1.吾爱破解论坛学习脱实例_VC6.exe   VC6特点:入口点代码是固定的代码,入口调用的API也是相同的,其中有的push地址不同程序可能不同;区段有四个也是固定的.text、.rdata、.data和.rsrc。   使用olldbg加载该程序,显示如下: ...
VC++编译说明
Hanford的专栏
11-03 2165
目 录 第1章 编译步骤    1 第2章 编译源文件    2 2.1 编译器    2 2.2 包含头文件    3 2.3 重复包含    6 2.4 预编译头文件    7 2.4.1 创建    7 2.4.2 使用    8 2.4.3 说明    9 第3章 编译资源
can波特率侦测工具
08-22
CAN波特率侦测工具是一种用于测量和检测CAN总线通信中的波特率的设备或软件。CAN(Controller Area Network)是一种常用于汽车和工业领域的通信协议。 CAN波特率指的是在一定时间内CAN总线上的信号频率。波特率越高...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值