我几乎用了好几分钟来考虑我该不该写写这段文字,最后我水平有限的理由终于还是被已经写好的标题所屈服,所以我并不怕你笑我。
我没有google过其他资料然后才写此文的,只因一时兴起,错误之处请指正。
在过去两年,我曾写过4次壳,这里我把一些经验写出来,希望有写壳的少走弯路。不废话了,切入主题。
我的第一代壳:
当时我还在某学校练高中2年纪,那时候我就着手写我的第一个壳,当时我对这方面完全不了解,手头上几乎只有几篇介绍pe文件格式的文章,当时我壳的构架是基于win 32调试机制的,也就是很像现在的arm和encryptpe,不过当时完全不知道有两个东东。于是呼,在我当时使用的开发工具delphi 7新建一个工程就开始了,名字我想不起来了,似乎现在资料都还保存在我一台笔记本硬盘里面,永远封存起来了。由于当时Code能力也烂到了极点,也就是注定这壳很快会夭折,不怕你笑话,当时我还不知道如何利用类这个东西,所以在数据格式的管理上简直是原始到了不可言语的地步,当时基于调试api的构架初看起来很好,对code的操作能力很大,我甚至还设计了好多种代码处理原形,不过正如我前面提到的,不久后,这壳夭折了。失败原应是因为过于追求界面部分,还有code能力差,到后来发现构架并不是想象中的那么好。最终此壳只加密成功过一个很小的程序。
总结一下构架方面,并不是说这样的构架很差,而似乎它还有天生的优点,比如子进程不能直接调试,需要合并进程,对代码操作能力好。从加壳处理方面来说操作性也很好,因为你可以写一个标准的loader程序,然后把被加密的程序当作附加数据来处理。缺点是你必须考虑services程序的这个事实,还有就是加密dll是这种构架的天生弱点。
很快,在时代的步伐下,我各方面进步了,至少自我感觉进步了。我决定重新写一款壳,这壳是我在主动退学后在美丽的家乡居住的时候想到的。关于退学的事我除了说我退学了之外并不想说此时的具体原因。
我的第二代壳:
由于第一代壳的失败,我决定花更多时间来搜集资料,但也不至于没有天理的把自己扔到网页堆里,很快我开始动工了,这壳用的构架是基于寄生被加密pe的构架,也就是在原来的pe上添加一个新区段,然后修改入口,都在这里面完成loader工作,当时我就考虑到vm将会在壳里有所作为,但我并没有意识到我特差的代码能力将使其无所作为,而且当时我还设计了另外一种伪执行模式,是一种简单高效的假vm执行引擎,但是当我使用大量内联汇编尚未达到想要的效果的时候,我开始重新考虑我的代码能力,很快的,这壳流产了。
失败原因也是特差的代码能力,和不够好的构架,我很高兴我有这么多自由时间来完成这样无聊而无结果的工作,这又一次告诉我需要提高自己个方面能力。
关于这样寄生的构架,我并不推荐,初看起来很简单,你不需要考虑新建一个pe所要考虑的各各方面, 你仍然可以做你所有能做的事情,但是你不得不考虑到如何将代码完美的寄生到目标里面去,你也许还会为此写一个code link engine,你会想让代码是多么的灵活,根据不同的选项生成特定的代码,似乎听起来非常的不错,但是当你进一步为你的壳加入新功能的时候,你会发现代码维护越来越困难。直到你开始抱怨。
我的第三代壳:
不久后,我开始在一个小城市和家乡之间来回穿梭,但是即使这样,我仍然有足够的时间,于是呼,我开始写我的第三带壳。也就是后来的pe123。
前两次的失败或多或少让我学到了不少东西, 这款壳的构架是基于新建PE的,加密时是直接拷贝代码方式,也就是代码先在加壳程序里写好,然后直接复制到目标程序,开始一切都很好,很快的,我完成了一系列代码筐架,然后对于那些不够好的代码我只能说,因为当时我已开始使用另外一门开发语言c++,所以对于delphi我只能说我在尚未学好它时已经开始放弃使用它,这是一大遗憾,但是当时总总迹象表明,我必须得放弃它。对于c++我还想说一点,我并没有看多少讲这样那样的学习教程的书,因为那些书上的和教育局书上的差不多一个样,除了个别精品之外,全是叫你用你那并不富裕的记忆记这样那样的语法,所以我选择了另外一总学习方式,参考别人代码,写自己的代码,遇到难题google.扯远了。
pe123我并不以为是一特别失败的壳,即使他很不成熟,而基于这样的构架,很明显是比较有优点的,你可以固定入口,所有代码你不需要重新连接,重新定位,也就是说你不需要写一个类似上面提到的link code engine这样的东西,你可以把代码写好,然后直接复制进去用。然后对于加壳方式我并提倡这样复制粘贴的方式。因为你迟早会发现你同样会陷入管理代码的泥潭而无法自拔。
我的第4代壳:
由于后来我除了写小工具外,几乎不用delphi了,所以本来不够用的代码能力已经无法将这个壳继续延续下去了,所以我一天夜里终于还是打开了vs2005新建了一个名为PeCancer的工程。我的第4个壳开始了。
对于delphi代码能力的不尽人意再一次提醒我在c++上面再也不能重复那样的路子,于是整个PeCancer的开发成了我的一个学习过程,他的大部分代码已经被我写过第二次,刚开始我的壳采用的是那个什么什么b*m*壳的方式的高级版本,也就是拥有一个shell dll,+shell loader的构架,当然也是新建PE,这种构架的好处在于,你将充分享受shell dll为你带来的代码维护便利,你不用担心你的这个函数的代码会不会放错位置,这个函数的调用会不会出问题,你还可以充分享受c++强大的调试能力给你带来的便利,只要你代码遇到问题,那么只要你生成了pdb文件,你可以立刻定位到相映的原代码上,而且shell和加密程序代码完全分开,这样你维护代码将非常轻松,后来我将这个构架又更改了一下,改成了shell dll+shell loader dll模式,放弃了shell loader也靠复制粘贴的依赖,更加易于代码的管理,这样以来,壳的shell部分也拥有任何c++程序可以拥有的模式,比如debug,release,你可以更容易的调试管理,这是我经历前几次调试痛苦之后而产生的想法,因为壳不比其他程序,shell代码位置肯定是要变动的,也就是说这样基本不可能源代码实时调试,至少当前来说。但是你可以通过asm+精确的源代码定位来弥补这个缺陷。
虽然至今我尚未公开过PeCancer的任何版本,但是我想我已经摆脱了加壳技术问题的噩梦,公开他的第一个版本也是迟早问题,我曾经想过开源,因为我没有太多时间来管理,但是被fly一语惊醒,开源的另一个意思就是放弃。但我不想放弃,因为我已经不想写我的第5代壳了。
总结一下上面所说,我说用到的构架中,最后一种是我最推荐的。当然我并没有去调查有没有其他构架,所以仅推荐而已。
有机会我再写一篇关于一些现在加壳所流行的技术,来阐述加壳的人是如何千方百计的刁难脱壳者的。
转载于:https://www.cnblogs.com/lifeengines/archive/2007/06/29/799469.html