加壳工具简单使用

时间20210107，环境winxp
介绍一些加壳工具和和它们的简单使用。其中加壳工具都可以在看雪学院上下载。为了方便描述，就先写了一个原程序，原程序的逻辑很简单，代码如下。

#include<stdio.h>  
int main()  
{  
	int i = 5;  
	scanf("%d",&i);  
	while(i--)  
	{  
		printf("Hello World%d\n",i);  
	}  
	return 0;  
}  

1.压缩壳

简单介绍下UPX。UPX壳使用命令行的方式，命令格式为upx [-123456789dlthVL] [-qvfk] [-o file] file..。将src.exe（待加壳文件）放到该目录下，接下来简单介绍下UPX的使用。

使用命令“upx -h”可以查看帮助，如下，有命令的介绍。

使用命令“upx 待加壳程序.exe”，即可对原程序进行加壳，这里是“src.exe”，可以看到下面显示了压缩的信息，如下图所示，File size（文件大小）由184401变为31744。Ratio为压缩比，为17.21%。这时，src.exe将被压缩后的程序替换。

使用命令“upx src.exe -o shell.exe”，可以保留原始程序，输出的加壳程序为shell.exe。

然后利用exeinfo pe（可以进行查壳）对原程序和加壳程序进行分析。下图是加壳后的分析结果。可以看到在红色框线中，检测出了程序经过了upx加密。并且连版本都可以分析出来，为“3.09”。

同时UPX还可以对压缩后的程序进行解压，使用命令“upx -d shell.exe”，可以对程序进行解压缩。

2.加密壳

常见的加密壳有ASProtect、Armadillo（也称穿山甲，是一款应用范围较广的商业保护软件）、EXECryptor（一款商业保护软件，该壳的特点是反调试技术比较强大）等。主要介绍ASProtect。
首先我们简单看下它的使用方法。如下图所示，对要加壳的原程序和输出的加壳后程序进行选择。这里使用的原程序和UPX中使用的原程序是同一个。

然后进入到Modes选项看，点击“Add Mode”，然后选中“Is this Mode Active”，并给该mode进行命名，如下图所示。

然后进入Protection选项卡，点击Protect即可，也可以点击工具栏上的小闪电，如图所示，如果出现图中所示字样，说明加壳成功，我们进入到输出文件的目录查看。

其中exeinfo pe的查壳结果如下。

3.虚拟机壳（虚拟机保护软件）

目前虚拟机已经称为目前最流行的保护趋势，但该项技术却是以效率换安全的。一条原始汇编指令经过VM的处理，往往会膨胀几十倍设置几百倍，执行速度大大降低。正因如此，VM保护通常提供SDK方式，一般只需要将核心的代码通过VM保护起来，这样在一定程度上可以缓解它的缺点。下面是使用VMProtect加壳工具默认的加密方式，涉及到SDK的话就需要进一步研究了。
下图是ollydbg分析原程序，这里，把从地址00401050处的代码作为核心代码。

接下来，开始使用VMProtect对程序进行加密，如图所示，是工具的界面，因为VMProtect的高版本就需要付费了，所以这里使用版本1.22.3。

点击左上角的文件夹，选择文件后，点击红色框线内窗口内的dump选项卡，如下图所示。

然后使用ctrl+g（这个和od一样），跳转到刚才在ollydbg中找到的地址00401050处，如下图所示。

然后点击左上角那个发绿色光的图标上“new procedure”，就会弹出如下图所示的对话框。

点击ok后，进入如下界面，这就是要加密的指令，VMProtect会自动选择合适的结束地址，但也可以手动，这里就使用自动的就好。

然后点击绿色的三角形（“compilation”编译的意思），如下图所示。

点击yes就可以了，可以看到在当前的目录下，生成了“src.vmp”，“src.vmp.exe”两个文件，这个exe文件就是加密后的文件了。
因为VMProtect是对局部指令进行加密，因此可以通过ollydbg更直观地看下加密后的指令。如下图所示，可以看到从地址00401050处开始，指令变得很奇怪。