加壳学习系列(三)-调试程序

最新推荐文章于 2022-06-30 10:44:45 发布
最新推荐文章于 2022-06-30 10:44:45 发布
阅读量447 收藏 1
点赞数 1
分类专栏: PE学习 文章标签: 安全 c++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44370676/article/details/118889083
版权
本文深入探讨了PE文件加壳技术,详细讲解了加壳前后代码的变化,包括解密函数、壳代码的执行、PE信息的保存和合并过程。通过示例代码展示了如何将壳附加到PE文件,并调整PE头信息以适应新的代码段,最后保存加壳后的文件。此过程涉及PE结构、内存映像和代码加密。
摘要由CSDN通过智能技术生成

调试程序

之前发了2篇文章,介绍PE基础加壳器和壳代码编写。现在就调试一下被加壳的代码和加壳程序

被加壳代码

加壳前程序如下:

#include<Windows.h>

int WINAPI WinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPSTR lpCmdLine, int nCmdShow){
	int i;
	i = MessageBoxA(NULL, "do you?", "baby", MB_YESNO);
	if (i == IDYES)
		MessageBoxA(NULL, "Yes", "Yes", MB_OK);/*如果点击了“是”*/
	else
		MessageBoxA(NULL, "No", "No", MB_OK);/*否则*/
	return 0;
}

IDA:
在这里插入图片描述
在这里插入图片描述加壳后的代码:

start函数
在这里插入图片描述
sub_2D7440就是解密函数

win10开了ASLR,所以ImageBase成了0x2D0000。而start函数在.cyxvc节里。
在这里插入图片描述

这里执行了jmp指令后跳到了.text节,0x1159(之前start函数地址)。
在这里插入图片描述
这里代码太多,但是WinMain RVA是0x1000,这里也一样。
这里执行壳代码后代码段已经恢复

在这里插入图片描述

加壳程序

需要加壳的PE程序信息

加壳程序的主函数

BOOL CPACK::Pack(CString strFilePath, BOOL bIsShowMesBox)
{
	//1.读取PE文件信息并保存
	CPE objPE;
	if (objPE.InitPE(strFilePath) == FALSE)
		return FALSE;

	//2.加密代码段操作
	DWORD dwXorSize = 0;
	dwXorSize=objPE.XorCode(0x15);

	//3.将必要的信息保存到Shell
	HMODULE hShell = LoadLibrary(L"Shell.dll");
	if (hShell == NULL)
	{
		MessageBox(NULL, _T("加载Shell.dll模块失败,请确保程序的完整性!"), _T("提示"), MB_OK);
		//释放资源
		delete[] objPE.m_pFileBuf;
		return FALSE;
	}

	PSHELL_DATA pstcShellData = (PSHELL_DATA)GetProcAddress(hShell, "g_stcShellData");

	pstcShellData->dwXorKey = 0x15;
	pstcShellData->dwCodeBase = objPE.m_dwCodeBase;
	pstcShellData->dwXorSize = dwXorSize;
	pstcShellData->dwPEOEP = objPE.m_dwPEOEP;
	pstcShellData->dwPEImageBase = objPE.m_dwImageBase;
	pstcShellData->stcPERelocDir = objPE.m_PERelocDir;
	pstcShellData->stcPEImportDir = objPE.m_PEImportDir;
	pstcShellData->dwIATSectionBase = objPE.m_IATSectionBase;
	pstcShellData->dwIATSectionSize = objPE.m_IATSectionSize;
	pstcShellData->bIsShowMesBox = bIsShowMesBox;

	//4.将Shell附加到PE文件
	//4.1.读取Shell代码
	MODULEINFO modinfo = { 0 };
	GetModuleInformation(GetCurrentProcess(), hShell, &modinfo, sizeof(MODULEINFO));
	PBYTE  pShellBuf = new BYTE[modinfo.SizeOfImage];
	memcpy_s(pShellBuf, modinfo.SizeOfImage, hShell, modinfo.SizeOfImage);
	//4.2.设置Shell重定位信息
	objPE.SetShellReloc(pShellBuf, (DWORD)hShell);	
	//4.3.修改被加壳程序的OEP,指向Shell
	DWORD dwShellOEP = pstcShellData->dwStartFun - (DWORD)hShell;
	objPE.SetNewOEP(dwShellOEP);
	//4.4.合并PE文件和Shell的代码到新的缓冲区
	LPBYTE pFinalBuf = NULL;
	DWORD dwFinalBufSize = 0;
	objPE.MergeBuf(objPE.m_pFileBuf, objPE.m_dwImageSize,
		pShellBuf, modinfo.SizeOfImage, 
		pFinalBuf, dwFinalBufSize);

	//5.保存文件(处理完成的缓冲区)
	SaveFinalFile(pFinalBuf, dwFinalBufSize, strFilePath);
	
	//6.释放资源
	delete[] objPE.m_pFileBuf;
	delete[] pShellBuf;
	delete[] pFinalBuf;
	objPE.InitValue();

	return TRUE;
}

这里读取PE文件和加密就不细说了。

pstcShellData的值如下
在这里插入图片描述
hshell的值为0x7c700000

读取shell.dll中的信息

查看modinfo的值
在这里插入图片描述可以看到shell.dll的映像大小和shellTest一样,都是0x6000字节。
在这里插入图片描述
暂时不看重定向和修改IAT的函数。

在这里插入图片描述这里dwShellOEP也就是shell中start函数的RVA是0x1230。
在这里插入图片描述

MergeBuf

合并2个PE的信息

void CPE::MergeBuf(LPBYTE pFileBuf, DWORD pFileBufSize,
	LPBYTE pShellBuf, DWORD pShellBufSize, 
	LPBYTE& pFinalBuf, DWORD& pFinalBufSize)
{
	//获取最后一个区段的信息
	PIMAGE_DOS_HEADER pDosHeader = (PIMAGE_DOS_HEADER)pFileBuf;
	PIMAGE_NT_HEADERS pNtHeader = (PIMAGE_NT_HEADERS)(pFileBuf + pDosHeader->e_lfanew);
	PIMAGE_SECTION_HEADER pSectionHeader = IMAGE_FIRST_SECTION(pNtHeader);
	PIMAGE_SECTION_HEADER pLastSection =
		&pSectionHeader[pNtHeader->FileHeader.NumberOfSections - 1];

	//1.修改区段数量
	pNtHeader->FileHeader.NumberOfSections += 1;

	//2.编辑区段表头结构体信息
	PIMAGE_SECTION_HEADER AddSectionHeader =
		&pSectionHeader[pNtHeader->FileHeader.NumberOfSections - 1];
	memcpy_s(AddSectionHeader->Name, 8, ".cyxvc", 7);

	//VOffset(1000对齐)
	DWORD dwTemp = 0;
	dwTemp = (pLastSection->Misc.VirtualSize / m_dwMemAlign) * m_dwMemAlign;
	if (pLastSection->Misc.VirtualSize % m_dwMemAlign)
	{
		dwTemp += 0x1000;
	}
	AddSectionHeader->VirtualAddress = pLastSection->VirtualAddress + dwTemp;

	//Vsize(实际添加的大小)
	AddSectionHeader->Misc.VirtualSize = pShellBufSize;

	//ROffset(旧文件的末尾)
	AddSectionHeader->PointerToRawData = pFileBufSize;

	//RSize(200对齐)
	dwTemp = (pShellBufSize / m_dwFileAlign) * m_dwFileAlign;
	if (pShellBufSize % m_dwFileAlign)
	{
		dwTemp += m_dwFileAlign;
	}
	AddSectionHeader->SizeOfRawData = dwTemp;

	//标志
	AddSectionHeader->Characteristics = 0XE0000040;

	//3.修改PE头文件大小属性,增加文件大小
	dwTemp = (pShellBufSize / m_dwMemAlign) * m_dwMemAlign;
	if (pShellBufSize % m_dwMemAlign)
	{
		dwTemp += m_dwMemAlign;
	}
	pNtHeader->OptionalHeader.SizeOfImage += dwTemp;


	//4.申请合并所需要的空间
	pFinalBuf = new BYTE[pFileBufSize + dwTemp];
	pFinalBufSize = pFileBufSize + dwTemp;
	memset(pFinalBuf, 0, pFileBufSize + dwTemp);
	memcpy_s(pFinalBuf, pFileBufSize, pFileBuf, pFileBufSize);
	memcpy_s(pFinalBuf + pFileBufSize, dwTemp, pShellBuf, dwTemp);
}

先看看pSectionHeaderpLastSection的值
在这里插入图片描述pSectionHeader
在这里插入图片描述
和节表第一个信息一致

在这里插入图片描述
pLastSection为节表最后一项

在这里插入图片描述在这里插入图片描述

之后就是对节表的新项AddSectionHeader疯狂设置,设置好后

在这里插入图片描述在这里插入图片描述

之后就是增大PE文件大小,从0x6000->0xC000(加倍)。
然后就是把数据拷贝到新的缓冲区了,前0x6000为原始PE文件的数据,后面0x6000的为shell.dll的数据。

保存文件

保存文件的代码如下,就不细致调试了

BOOL CPACK::SaveFinalFile(LPBYTE pFinalBuf, DWORD pFinalBufSize, CString strFilePath)
{
	//修正区段信息中 文件对齐大小(文件对齐大小同内存对齐大小)
	PIMAGE_DOS_HEADER pDosHeader = (PIMAGE_DOS_HEADER)pFinalBuf;
	PIMAGE_NT_HEADERS pNtHeader = (PIMAGE_NT_HEADERS)(pFinalBuf + pDosHeader->e_lfanew);
	PIMAGE_SECTION_HEADER pSectionHeader = IMAGE_FIRST_SECTION(pNtHeader);
	for (DWORD i = 0; i < pNtHeader->FileHeader.NumberOfSections; i++, pSectionHeader++)
	{
		pSectionHeader->PointerToRawData = pSectionHeader->VirtualAddress;
	}

	//清除不需要的目录表信息
	//只留输出表,重定位表,资源表
	DWORD dwCount = 15;
	for (DWORD i = 0; i < dwCount; i++)
	{
		if (i != IMAGE_DIRECTORY_ENTRY_EXPORT && 
			i != IMAGE_DIRECTORY_ENTRY_RESOURCE &&
			i != IMAGE_DIRECTORY_ENTRY_BASERELOC )
		{
			pNtHeader->OptionalHeader.DataDirectory[i].VirtualAddress = 0;
			pNtHeader->OptionalHeader.DataDirectory[i].Size = 0;
		}
	}

	//获取保存路径
	TCHAR strOutputPath[MAX_PATH] = { 0 };
	LPWSTR strSuffix = PathFindExtension(strFilePath);
	wcsncpy_s(strOutputPath, MAX_PATH, strFilePath, wcslen(strFilePath));
	PathRemoveExtension(strOutputPath);
	wcscat_s(strOutputPath, MAX_PATH, L"_cyxvc");
	wcscat_s(strOutputPath, MAX_PATH, strSuffix);

	//保存文件
	HANDLE hNewFile = CreateFile(
		strOutputPath,
		GENERIC_READ | GENERIC_WRITE,
		0,
		NULL,
		CREATE_ALWAYS, FILE_ATTRIBUTE_NORMAL, NULL);
	if (hNewFile == INVALID_HANDLE_VALUE)
	{
		MessageBox(NULL, _T("保存文件失败!"), _T("提示"), MB_OK);
		return FALSE;
	}
	DWORD WriteSize = 0;
	BOOL bRes = WriteFile(hNewFile, pFinalBuf, pFinalBufSize, &WriteSize, NULL);
	if (bRes)
	{
		CloseHandle(hNewFile);
		return TRUE;
	}
	else
	{
		CloseHandle(hNewFile);
		MessageBox(NULL, _T("保存文件失败!"), _T("提示"), MB_OK);
		return FALSE;
	}
}

需要注意的是这里是直接把内存映像保存到文件中,并没有压缩。比如看看加壳后节表中各各节的信息。

  • text
    在这里插入图片描述
  • rdata
    在这里插入图片描述
  • rsrc
    在这里插入图片描述

可以看到VirtualAddressPointerToRawData值一样,即磁盘文件偏移和内存映像偏移一样。这里当然可以优化,一般PointerToRawData都会比VirtualAddress的值小,以节省磁盘空间。

I still …
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
upx加壳工具
03-09
Qt程序压缩利器你懂的
加壳程序
04-14
加壳程序是一种在软件开发中常见的技术,主要目的是保护程序代码免受逆向工程、调试和非法修改。在本文中,我们将深入探讨“小加壳程序”这一概念,以及它是如何帮助初级程序员保护他们的程序的。 加壳技术源于对...
加壳技术-DRx解码阻止调试
老裴
12-11 1203
加壳技术-DRx解码阻止调试这些代码是从我逆向出hying外壳原码得来,有些描述不准确,凑合看吧;//////////////////////////////////;//drx 解码        Call    Push_drx_handlerDrx_handler    Proc NearPframe        = Dword    Ptr  4Pcontext        = Dwo
雷林鹏分享:PHP 文件上传
weixin_34268169的博客
06-21 145
  通过 PHP,可以把文件上传到服务器。   本章节实例在 test 项目下完成,目录结构为:   test   |-----upload # 文件上传的目录   |-----form.html # 表单文件   |-----upload_file.php # php 上传代码   创建一个文件上传表单   允许用户从表单上传文件是非常有用的。   请看下面这个供上传文件的 HT...
upx加壳原理
抠专栏
03-14 3960
原文 upx的功能有两种描述。一种叫做给程序加壳,另一种叫压缩程序。其实这两种表述都是正确的,只是从不同的 角度 对upx的描述。 upx的工作原理其实是这样的:首先将程序压缩。所谓的压缩包括两方面,一方面在程序的开头或者其他合适的 地方 插入一段代码,另一方面是将程序的其他地方做压缩。压缩也可以叫做加密,因为压缩后的程序比较难看 懂,主要是 和原来的代码有很大的不同。最大的表现也就是
UPX为APK加壳中.init段相关问题
KD的疯狂实验室
02-04 1570
探讨了以下内容: - 为什么一些.so在新版编译的UPX中压缩无法通过. - .init段的一些简单探索
易语言源码易语言文件加壳源码.rar
03-31
5. **反调试和反静态分析**:为了防止被调试器检测到或者被静态分析工具逆向,加壳程序往往需要加入反调试和反静态分析的措施。这部分在源码中可能包括检查调试标志、模拟系统调用等技巧。 6. **异常处理**:在加壳...
VMProtect2.04加壳程序从入门到精通
09-18
通过以上介绍可以看出,**VMProtect2.04**加壳程序的学习和逆向分析是一项挑战性极大的任务。它不仅需要扎实的基础知识,还需要对各种伪指令及其组合有深刻的理解。随着技术的不断进步,未来的加壳技术和逆向分析...
第54章-EXECryptor v2.2.50.a脱壳-Part11
08-03
在面对未知的加壳程序时,一种常见的方法是寻找相关的UnPackMe样本,这些样本是专门设计用来测试和学习加壳技术的程序。 当没有UnPackMe样本时,可以通过获取加壳器并使用简单的程序(如小程序)进行加壳实验,观察...
专门针对Exe与dll的加壳与脱壳工具
03-05
"加壳"是指将一个程序(原程序)包裹在一个外壳程序中,以实现一些特定目的,比如代码加密、版权保护、隐藏原程序的行为等。而"脱壳"则是指移除这个外壳,恢复原程序的原始状态。 标题中的“专门针对Exe与dll的加壳...
UPX加壳
08-21
UPX加壳器系统结构:UPX加壳器======窗口程序集1||||------_按钮1_被单击||||------__启动窗口_创建完毕||||------_拖放对象1_得到文件||||------__启动窗口_将被销毁||||------_按钮2_被单击||||------_选择
UPX编译自动加壳.rar
12-22
UPX编译自动加壳.rar UPX编译自动加壳.rar UPX编译自动加壳.rar UPX编译自动加壳.rar UPX编译自动加壳.rar UPX编译自动加壳.rar
加壳压缩工具upx最新版本
01-22
加壳压缩工具upx最新版本upx-3.95-win64。有需要的可以来下载。
UPX加壳脱壳
02-26
upx加壳脱壳机(UPX Easy GUI)绿色汉化版upx极速加壳脱壳 为EXE可执行应用程序添加和除去UPX壳的工具 界面友好速度快是它的特点,做软件的朋友不妨一试。
加壳学习笔记()-简单的脱壳思路&调试思路
byteway的专栏
05-19 2245
1.首先F3加载应用程序,然后一路F8直到自己停下来,或者是ctrl+F8他会自己运行,直到出现自己停下的时候(也就是OllyDbug把程序的控制权交出,转由应用程序自己控制,呵呵,不行,还得唠唠其他的......下面先跳转一下) 控制权、领空:关于程序的控制权和领空的问题,OllyDbug是一个强大的程序调试工具,具有强大的调试和反汇编能力,他会在应用程序拉到内存的那一刻,就牢牢的控制了该程序,具体的方法是(个人猜想而已):OD把程序拉到内存的同时,就是一个领孩子入瓮的问题,呵呵,实际这里
软件安全-UPX加壳
写代码的小阿帆的博客
05-03 3031
加壳的全称应该是可执行程序资源压缩,压缩后的程序可以直接运行。 其原理是将可执行程序按照一定算法进行压缩,达到程序源代码的加密效果,执行时在先脱壳内存中解压缩,还原,再执行原程序部分。从而达到防修改与防反编译的效果,而因为源代码在磁盘中以压缩形式存储,虽然脱壳操作加重了CPU的负担,但减少了磁盘的读写,所以在大多数情况下还能提高程序运行速度;这种技术也常被应用到病毒免杀中,给病毒加壳后,杀毒软件往往很难识别。 壳也能提供一些保护功能,比如时间限制,使用次数和注册等。 UPX UPX (the Ultimat
编译UPX加壳工具
feixiang3839的专栏
09-29 1983
编译UPX加壳软件 下载相关软件 Upx软件:https://github.com/upx/upx/releases/download/v3.94/upx-3.94-src.tar.xz Lzma包:https://github.com/upx/upx-lzma-sdk/archive/v3.94.tar.gz Ucl软件:http://mirrors.aliyun.com/ubuntu/
使用upx对二进制进行加壳
Rocky的博客
06-30 1725
使用upx对二进制进行加壳
linux 程序加壳的原理
最新发布
05-18
4. 防止反汇编:为了防止被反汇编,壳程序可以在被加壳程序的代码和数据之间插入一些无意义的代码,或者使用一些反调试技术,例如在程序中插入断点等。 5. 防止修改:为了防止被篡改,壳程序可以对被加壳程序的代码...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值