程序隐藏、加壳、内存加载执行的一种实验方案

已于 2024-02-29 14:17:37 修改
阅读量512 收藏
点赞数
分类专栏: 数据结构和算法 软件开发 逆向 文章标签: 系统安全 windows
于 2023-04-16 16:21:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37567738/article/details/130182810
版权

源码地址点击此处

该方案比较简单,只适用于测试和简单情景下的应用,测试中能够运行大多数体积和功能比较简单的32位和64位程序,兼容性和稳定性有待测试和提高。

(一)原理

源码包含两个工程,加壳程序PeShell和脱壳程序PeUnshell。

加壳程序:PeShell工程。该工程根据命令行参数,将需要加壳的程序和文件先用zip压缩,后用xor加密,生成一段新的数据,接着在PEUnshell.exe程序中创建一个新的段区,名称默认为"ldata",最后将这段数据写入在PEUnshell.exe文件的新的"ldata"段中。这块加密数据的内存影像(从低地址到高地址)为:
文件个数(int型),密钥(char型,16字节,用的当前时间的md5值),文件大小1(int),文件名1(char型,64字节),文件1,文件大小2(int),文件名2(char型,64字节),文件2,。。。,,文件大小n(int),文件名n(char型,64字节),文件n。
代码实现:

unsigned char* Crypto::makeDataBlock(int flag, const char filename[MAX_FILE_COUNT][256], int cnt, int& dstdatasize) {

	int ret = 0;

	int filesize = 0;
	for (int i = 0; i < cnt; i++)
	{
		int fz = FileHelper::getfilesize(filename[i]);
		filesize += fz;
		printf("file name:%s size:%d\r\n", filename[i], fz);
	}

	int dstbufsize = filesize + 0x1000;

	unsigned char* dstblock = new unsigned char[dstbufsize];

	*(int*)dstblock = flag;

	// 	if (cnt == 1 && strstr((char*)filename[0],".exe") )
	// 	{
	// 		*(int*)dstblock = ONLY_ONE_EXE;
	// 	}
	// 	else if (cnt == 1 && strstr((char*)filename[0], ".dll"))
	// 	{
	// 		*(int*)dstblock = ONLY_ONE_DLL;
	// 	}
	// 	else if (cnt > 1 )
	// 	{
	// 		int flagexe = 0;
	// 		int flagdll = 0;
	// 		for (int i = 0;i < cnt; i ++)
	// 		{
	// 			if (strstr((char*)filename[i], ".dll")) {
	// 				flagdll = 1;
	// 			}else if (strstr(filename[i],".exe"))
	// 			{
	// 				flagexe = 1;
	// 			}
	// 		}
	// 
	// 		if (flagexe && flagdll)
	// 		{
	// 			*(int*)dstblock = ONE_EXE_AND_ONE_DLL;
	// 		}
	// 		else {
	// 			*(int*)dstblock = SOME_OTHER_FILES;
	// 		}
	// 	}
	// 	else {
	// 		return 0;
	// 	}

	unsigned char* key = dstblock + 4;

	getkey(key);

	*(int*)(dstblock + 4 + CRYPT_KEY_SIZE) = cnt;

	unsigned char* dstbuf = dstblock + 4 + CRYPT_KEY_SIZE + 4;

	int dstbuflimit = dstbufsize - 4 - CRYPT_KEY_SIZE - 4;

	for (int i = 0; i < cnt; i++)
	{
		lstrcpyA((char*)dstbuf, filename[i]);
		PathStripPathA((char*)dstbuf);
		dstbuf += FILENAME_LEN;
		dstbuflimit -= FILENAME_LEN;

		char* lpdata = 0;

		ret = FileHelper::fileReader(filename[i], &lpdata, &filesize);
		if (ret > 0)
		{
			unsigned long cmpresssize = dstbuflimit - 4;
			ret = Compress::compressdata((unsigned char*)lpdata, filesize, dstbuf + 4, &cmpresssize);
			delete[] lpdata;
			if (ret != 0)
			{
				delete dstblock;
				printf("compress file:%s error:%u\r\n", filename[i], GetLastError());
				return 0;
			}

			*(int*)(dstbuf) = cmpresssize;
			dstbuf += 4;
			dstbuf += cmpresssize;
			dstbuflimit -= 4;
			dstbuflimit -= cmpresssize;
		}
		else {
			delete dstblock;
			printf("read file:%s error\r\n", filename[i]);
			return 0;
		}
	}

	dstdatasize = dstbuf - dstblock;

	CryptData(dstblock + 4 + CRYPT_KEY_SIZE, dstdatasize - 4 - CRYPT_KEY_SIZE, key, CRYPT_KEY_SIZE);

	//revertkey(key);

	return dstblock;
}

加壳命令行的写法:

	PeShell -be sogou.exe sbiedll.dll -c params.dat -o out.exe

	PeShell -bd sogou.exe sbiedll.dll -c params.dat -o out.dll

	PeShell -e sogou.exe -c params.dat -o out.exe

	PeShell -d sogou.exe -c params.dat -o out.dll

参数的解释:
-be:b代表bind,绑定的意思;e代表executable,可执行的。
-bd:b代表bind,绑定的意思;d代表dll,即动态重定位文件。
-o: 输出文件,即加壳后的程序。
-c: 参数。可加可不加。

加壳程序比较复杂的代码是添加区段。pe文件的区段结构如下:

typedef struct _IMAGE_SECTION_HEADER {
    BYTE    Name[IMAGE_SIZEOF_SHORT_NAME];
    union {
            DWORD   PhysicalAddress;
            DWORD   VirtualSize;
    } Misc;
    DWORD   VirtualAddress;
    DWORD   SizeOfRawData;
    DWORD   PointerToRawData;
    DWORD   PointerToRelocations;
    DWORD   PointerToLinenumbers;
    WORD    NumberOfRelocations;
    WORD    NumberOfLinenumbers;
    DWORD   Characteristics;
} IMAGE_SECTION_HEADER, *PIMAGE_SECTION_HEADER;

其中,VirtualSize是区段大小,VirtualAddress是对齐后的虚拟地址,SizeOfRawData是文件对齐后的大小,PointerToRawData是区段在文件中相对于文件头的偏移地址。这里采用的思路是,一般情况下,段表结构PIMAGE_SECTION_HEADER中有空余的项,找到后空项后,计算和重新修改该段表项即可。其中,
VirtualAddress字段=上一个段表的值+上一个段表内存页面对齐后的大小,
PointerToRawData = 上一个段表的值+上一个段表扇区对齐后的大小,
SizeOfRawData是段文件对齐后大小,
VirtualSize是段实际大小,
Characteristics必须是代码或者数据段,否则不会被装入内存,
IMAGE_FILE_HEADER中NumberOfSections字段加1,
IMAGE_OPTIONAL_HEADER32中SizeOfImage字段要加上该段对齐后的大小。

上述功能中使用的结构体如下:

typedef struct _IMAGE_FILE_HEADER {
    WORD    Machine;
    WORD    NumberOfSections;
    DWORD   TimeDateStamp;
    DWORD   PointerToSymbolTable;
    DWORD   NumberOfSymbols;
    WORD    SizeOfOptionalHeader;
    WORD    Characteristics;
} IMAGE_FILE_HEADER, *PIMAGE_FILE_HEADER;

typedef struct _IMAGE_OPTIONAL_HEADER {
    WORD    Magic;
    BYTE    MajorLinkerVersion;
    BYTE    MinorLinkerVersion;
    DWORD   SizeOfCode;
    DWORD   SizeOfInitializedData;
    DWORD   SizeOfUninitializedData;
    DWORD   AddressOfEntryPoint;
    DWORD   BaseOfCode;
    DWORD   BaseOfData;

    DWORD   ImageBase;
    DWORD   SectionAlignment;
    DWORD   FileAlignment;
    WORD    MajorOperatingSystemVersion;
    WORD    MinorOperatingSystemVersion;
    WORD    MajorImageVersion;
    WORD    MinorImageVersion;
    WORD    MajorSubsystemVersion;
    WORD    MinorSubsystemVersion;
    DWORD   Win32VersionValue;
    DWORD   SizeOfImage;
    DWORD   SizeOfHeaders;
    DWORD   CheckSum;
    WORD    Subsystem;
    WORD    DllCharacteristics;
    DWORD   SizeOfStackReserve;
    DWORD   SizeOfStackCommit;
    DWORD   SizeOfHeapReserve;
    DWORD   SizeOfHeapCommit;
    DWORD   LoaderFlags;
    DWORD   NumberOfRvaAndSizes;
    IMAGE_DATA_DIRECTORY DataDirectory[IMAGE_NUMBEROF_DIRECTORY_ENTRIES];
} IMAGE_OPTIONAL_HEADER32, *PIMAGE_OPTIONAL_HEADER32;

至此,加壳程序工作基本完成。

解壳和内存加载执行:即PEUnshell工程。该工程支持编译为PEUnshell.exe和PEUnshell.dll,可以根据命令行参数,将程序隐藏在exe或者dll中,并且都可以正确的释放和加载运行。在程序运行时(PEUnshell.exe是在WinMain函数入口处,PEUnshell.dll是在DllEntry入口处)在自己的内存加载映像中查找"ldata"区段,然后按照加壳中定义的数据结构,将这段压缩加密内存数据解密解压后,写入当前目录,并将其中后缀名为exe的程序启动起来。启动方法是内存加载执行。内存加载执行主要分为三个部分,段加载,导入表填充,重定位。这三个功能比较复杂,但是原理是根据pe文件的结构,通过计算得到修正后的段、导入导出函数、重定位的地址,具体细节结合代码也很直观。
其中,程序释放程序跟加壳程序压缩加密和内存布局是相反的。
内存加载执行代码如下:

int LoadPE::RunPE(char* pFileBuff, DWORD dwSize)
{
	int ret = 0;

	char szout[1024];

	DWORD dwSizeOfImage = GetSizeOfImage(pFileBuff);

	DWORD imagebase = GetImageBase(pFileBuff);
	if (imagebase <= 0)
	{
		imagebase = DEFAULT_PE_BASE_ADDRESS;
	}

#ifdef _MYDEBUG
	wsprintfA(szout, "image base:%x,size:%x", imagebase, dwSizeOfImage);
	MessageBoxA(0, szout, szout, MB_OK);
#endif

	//使用MEM_RESERVE分配类型参数 Windows会以64 KB为边界计算该区域的起始地址 跟PE文件加载边界一致
	//使用MEM_COMMIT分配类型参数 区域的起始和结束地址都被计算到4KB边界
	//VirtualAlloc 当程序访问这部分内存时RAM内存才会被真正分配
	char* chBaseAddress = (char*)lpVirtualAlloc(imagebase, dwSizeOfImage, MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);
	if (NULL == chBaseAddress)
	{
#ifdef _MYDEBUG
		wsprintfA(szout, "VirtualAlloc address:%x error", imagebase);
		MessageBoxA(0, szout, szout, MB_OK);
#endif
		chBaseAddress = (char*)lpVirtualAlloc(0, dwSizeOfImage, MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);
		if (NULL == chBaseAddress)
		{
#ifdef _MYDEBUG
			wsprintfA(szout, "VirtualAlloc address:%x error", imagebase);
			MessageBoxA(0, szout, szout, MB_OK);
#endif
			return NULL;
		}
	}

	RtlZeroMemory(chBaseAddress, dwSizeOfImage);

	ret = MapFile(pFileBuff, chBaseAddress);

	//Reloc::recovery((DWORD)chBaseAddress);
	ret = RelocationTable(chBaseAddress);

	//ImportFunTable::recover((DWORD)chBaseAddress);
	ret = ImportTable(chBaseAddress);

	DWORD dwOldProtect = 0;
	if (FALSE == lpVirtualProtect(chBaseAddress, dwSizeOfImage, PAGE_EXECUTE_READWRITE, &dwOldProtect))
	{
		lpVirtualFree(chBaseAddress, dwSizeOfImage, MEM_DECOMMIT);
		lpVirtualFree(chBaseAddress, 0, MEM_RELEASE);
#ifdef _MYDEBUG
		wsprintfA(szout, "VirtualProtect address:%x error", imagebase);
		MessageBoxA(0, szout, szout, MB_OK);
#endif
		return NULL;
	}

	ret = SetImageBase(chBaseAddress);

	PIMAGE_DOS_HEADER dos = (PIMAGE_DOS_HEADER)chBaseAddress;
	PIMAGE_NT_HEADERS nt = (PIMAGE_NT_HEADERS)(chBaseAddress + dos->e_lfanew);

#ifdef _MYDEBUG
	wsprintfA(szout, "pe type:%x", nt->FileHeader.Characteristics);
	MessageBoxA(0, szout, szout, MB_OK);
#endif

	if (nt->OptionalHeader.Subsystem == IMAGE_SUBSYSTEM_WINDOWS_GUI)
	{

	}
	else if (nt->OptionalHeader.Subsystem == IMAGE_SUBSYSTEM_WINDOWS_CUI)
	{
		gType = 3;
		ghPEModule = (HMODULE)chBaseAddress;
		gPEImageSize = dwSizeOfImage;

		ret = CallConsoleEntry(chBaseAddress);

		lpVirtualFree(chBaseAddress, dwSizeOfImage, MEM_DECOMMIT);
		lpVirtualFree(chBaseAddress, 0, MEM_RELEASE);
		return ret;
	}

	if (nt->FileHeader.Characteristics & 0x2000)
	{
		gType = 2;
		gPEImageSize = dwSizeOfImage;
		ghPEModule = (HMODULE)chBaseAddress;

		ret = recoverEAT(chBaseAddress);
		ret = CallDllEntry(chBaseAddress);
		return ret;
	}
	else {
		gType = 1;
		ghPEModule = (HMODULE)chBaseAddress;
		gPEImageSize = dwSizeOfImage;

		ret = CallExeEntry(chBaseAddress);

		lpVirtualFree(chBaseAddress, dwSizeOfImage, MEM_DECOMMIT);
		lpVirtualFree(chBaseAddress, 0, MEM_RELEASE);
		return ret;
	}

	return TRUE;
}

pe文件中的OptionalHeader.ImageBase字段可以修改,故程序编译时指定的加载地址并不是必须的。
通过内存分配,MapFile函数映射区段,RelocationTable重定位,导入表ImportTable,VirtualProtect修改程序内存属性可读写可执行,SetImageBase设置OptionalHeader.ImageBase字段后,程序内存映射基本完毕。接下来,如果是exe程序,那么直接跳转地址:加载地址 + OptionalHeader.AddressOfEntryPoint,如果是dll程序,直接带参数DLL_PROCESS_ATTACH执行DllMainEntry函数,如果是console程序,则带参数执行main函数。

本文写的比较粗糙,实际上,本文的核心内容在此处的三个函数上:MapFile,RelocationTable,ImportTable。通过此三个函数,完成了PE文件的内存加载和执行。具体细节不在表述(因为我也是一个初学者,只是照着葫芦画瓢),有兴趣的同学自己看代码体会吧。

(二)测试

测试时,保证peshell.exe,peunshell.exe或者peunshell.dll,加壳运行的exe或者dll在同一个目录,通过命令运行peshell.exe即可。测试中,大部分体积比较小的32/64位程序都可以加载执行,但是稍微大一些的程序无法正确运行。原因百思不得其解,望各位赐教。

源码地址在文章开头处。

satadriver
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
内存加载运行EXE
08-07
windows似乎只提供了一种启动进程的方法:即必须从一个可执行文件中加载并启动。 而下面这段代码就是提供一种可以直接从内存中启动一个exe的变通办法。 用途嘛, 也许可以用来保护你的exe,你可以对要保护的 exe 进行任意切分、加密、存储, 只要运行时能将exe的内容正确拼接到一块内存中,就可以直接从内存中启动,而不必不安全地去 生成一个临时文件再从临时文件启动进程。另外这段代码也提供了一种自己写exe外壳的简单途径, 如果能配合其它各种外壳技术就更好地保护你的exe文件。 原理很简单:就是“借尸还魂”,启动一个僵尸进程(NT下可以是自身程序启动的另一个进程), 然后在它运行前将其整个替换成内存中的exe内容,待正式运行后执行的就是你的目标代码了。 不过代码中还有一些不尽人意的地方,比如在98下运行会留一个僵尸程序的壳在硬盘上( 其实那个僵尸程序本身就是一个完整的可执行程序,直接运行的话只显示一条错误信息然后就退出了)。 另外由于客观条件限制,代码没有经过充分测试,只在XP下进行了一些初步测试:普通exe都能正常运行, upx压缩过的exe绝大多数情况下都能运行,只有在不能卸载僵尸外壳时才有问题(upx压缩过的exe没有重定向表, 无法加载到其它地址运行)。
进程隐藏进程保护(SSDT Hook 实现)(三)
weixin_34115824的博客
09-05 434
文章目录:                   1. 引子: 2. 获取当前系统下所有进程: 3. 服务管理(安装,启动,停止,卸载): 4. 应用程序和内核程序通信: 5. 小结:                  1. 引子:                           关于这个 SSDT Hook 实现进程隐藏进程保护呢,这是最后一篇博文了, 在文章的结...
NB的内存加载exe文件
木休的斋堂
03-14 1702
原理: 1. 把你的程序读要内存 2. 以 CREATE_SUSPENDED模式CreateProcess打开svchost.exe 3. 修改svchost.exe页面的属性,然后把要运行的那个程序的内容拷贝到svchost.exe页面 4. 然后再运行 实质想当于是 披着/svchost.exe进程的相关信息/这张皮,而皮里面的肉都被改了 原文来自哪里忘记了,。呵呵 // #in
内存加载并启动一个exe
白水绕东城
05-17 1924
 windows似乎只提供了一种启动进程的方法:即必须从一个可执行文件中加载并启动。而下面这段代码就是提供一种可以直接从内存中启动一个exe的变通办法。用途嘛, 也许可以用来保护你的exe,你可以对要保护的 exe 进行任意切分、加密、存储,只要运行时能将exe的内容正确拼接到一块内存中,就可以直接从内存中启动,而不必不安全地去生成一个临时文件再从临时文件启动进程。另外这段代码也提供了一种自己
C# 实现从内存加载DLL(支持加了壳的DLL)
记事本
09-08 6095
  很早的时候用VB6.0写过一次,今天找出来做成C# 的 完整源码下载地址 https://download.csdn.net/download/vblegend_2013/10653851  从内存加载DLL 步骤 1.加载DLLByte数组并校验数据有效性,通过校验 DOSHEADER、NTHEADER、SECTION_HEADER 三个位置实现验证 2.计算Dll加载内存后所...
简单的C#程序加壳技术
10-12
简单的C#程序加壳技术
C# 从内存加载动态链接库
09-08
纯C# 实现的 从内存加载动态链接库,支持加壳的DLL,使用方便 class Program { public delegate Int32 CompressHandle(ref Byte dest,ref Int32 len, Byte [] source,Int32 sourcelen); static void Main(string...
检测NET程序被何种.NET混淆器加壳
11-26
.NET破解工具:DotNet Id.exe 检测何种.NET混淆器加壳 ,另外辅助其它工具如 Reflector DotNethelper Hexchange , dbgCLR(微软自己的调试器)Editplus
软件加壳一机一码enigma protector 6.6.rar
09-26
1.如果您在使用 Enigma Protector 加壳保护工具。 2.支持制作一机一码。 3.暂时不支持NET程序。 4.enigma protector安全性高。
delphi X64内存加载DLL(修正版)
04-04
delphi X64内存加载DLL(修正版),修正X64在高位内存区域加载失败的情况,支持加壳后的DLL,不支持D7。
进程空中技术(在内存加载exe)
07-28
一种进程注入技术,有兴趣稍加改动可实现exe在不落地的情况下在内存中动态加载
易语言 - 内存加载运行EXE源码
11-18
程序中运行程序。易语言实现的两种方法源码,仅供学习参考。
VC2015项目源码,内存中运行EXE文件(内存加载运行第三方EXE程序)示例源码
最新发布
08-15
VC2015项目源码,内存中运行EXE文件(内存加载运行第三方EXE程序)示例源码
实现exe从资源中加载内存中运行
08-20
这是网上的一段代码稍微修改了下,实现在windows下将程序加载到资源,运行时从资源加载内存,并运行
内存加载Dll
KAMI'S BLOG
07-27 1563
曾经有一个博客用hexo+github搭建的,奈何没心思去管理!!! 分享一份自己之前总结以前的代码写的dll内存加载库C++版本: https://github.com/kamichan/image ...
内存加载并运行exe(两种方法)
编程资料收集与共享交流
04-03 4816
windows似乎只提供了一种启动进程的方法:即必须从一个可执行文件中加载并启动。    而下面这段代码就是提供一种可以直接从内存中启动一个exe的变通办法。    用途嘛,     也许可以用来保护你的exe,你可以对要保护的     exe     进行任意切分、加密、存储,    只要运行时能将exe的内容正确拼接到一块内存中,就可以直接从内存中启动,而不必不安全地去
加载exe至内存运行
wanm9的博客
08-25 2880
有时候需要将exe加载内存运行,例如保护exe程序版权。 先上代码: #ifdef WIN32     #include #else     #error Process Forking Requires a Windows Operating System #endif #include /////////////////////////////////////////
exe和dll的内存加载
qq_39415224的博客
01-12 663
这两天学习了PE结构后,做了一个简单的内存加载demo。在完成这个demo期间也是遇到了很多问题,大部分的问题最后都得到了解决,但还是有一些问题依然困扰着我,我在最后将会提到。不过总的来说也算是顺利完成了这个demo。对于一个java程序员来说,理解内存和指针确实有些困难 。因此这次用C语言编写demo对我来说是个不小的挑战。不过同样也让我对底层有了更深入的了解。因此在这里做一个工作总结,加深一下印象,同时也希望有朋友能解答我的一些疑惑。 内存加载win7内存加载节的映射修改重定位装载动态库修改入口点并跳转
linux 程序加壳的原理
05-18
程序加壳(也称为程序保护或程序加密)是一种程序代码和数据进行混淆或加密的技术。在Linux中,程序加壳的原理基本上是将可执行文件(二进制文件)添加一个额外的壳层,使得该文件的内容变得不易被识别和破解。 程序加壳的基本原理是: 1. 加载程序:首先,系统会加载程序,该程序会解密或者解压被加壳程序,并将其加载内存中。 2. 壳程序解密:壳程序将被加壳程序的代码和数据进行解密或解压缩,以便能够执行。 3. 执行加壳程序:被解密或解压缩后的程序执行,这个过程与普通程序执行过程基本一致。 4. 防止反汇编:为了防止被反汇编,壳程序可以在被加壳程序的代码和数据之间插入一些无意义的代码,或者使用一些反调试技术,例如在程序中插入断点等。 5. 防止修改:为了防止被篡改,壳程序可以对被加壳程序的代码和数据进行加密或者校验,以确保它们没有被修改。 总之,程序加壳的目的是为了增加程序的安全性,防止被破解或者篡改。但是,程序加壳也会增加程序的体积和运行时间,因此需要权衡安全性和性能。同时,程序加壳也不是绝对安全的,只是增加了攻击者攻击的难度。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值