写一个PE的壳_Part 6:简单的混淆

已于 2022-05-30 20:34:11 修改
阅读量536 收藏
点赞数
分类专栏: # 写一个PE的壳 文章标签: c++ 安全 windows python
于 2022-05-27 22:30:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44531336/article/details/124997197
版权

系列汇总

文章目录

处理完Part 4,Part 5会轻松很多;Part 6主要是对Part 4 中的最终结果中加入简单的混淆

1.清理

step 1:移除不必要信息

  • 当前现状

我们已经使用 -nostartfiles-nostdlib编译选项,在最终的二进制文件中移除了C的标准库和运行时库;但是结果PE中可能还有其他不必要的section和符号信息

给cal.exe打包的后的section分布如下

在这里插入图片描述

  • 加入改变

我们将新增2个编译选项:-fno-ident-fno-asynchronous-unwind-tables 进一步清除section

-fno-ident:忽略#ident命令
-fno-asynchronous-unwind-tables:用来不生成CFI指令,禁止生成.eh_frame和.eh_frame_hdr section

同时使用strip.exe移除符号信息和调试信息,进一步减小文件体积

因此,compile_stub函数更改如下

def compile_stub(input_cfile, output_exe_file, more_parameters = []):
    cmd = (["mingw32-gcc.exe", input_cfile, "-o", output_exe_file] # Force the ImageBase of the destination PE
        + more_parameters +
        ["-Wl,--entry=__start", 		# define the entry point
        "-nostartfiles", "-nostdlib", 	# no standard lib
        "-fno-ident",  "-fno-asynchronous-unwind-tables", # Remove unnecessary sections
        "-lkernel32" 					# Add necessary imports
        ])
    print("[+] Compiling stub : "+" ".join(cmd))
    subprocess.run(cmd)
    subprocess.run(["strip.exe", output_exe_file])

step 2:重命名.packed

当前我们有一个非常明确的名字,.packed是我们自己的section;为了通用性,我们可以将它定义为只读(read-only),且名字用通用名字.rodata替换

packed_section = lief.PE.Section(".rodata")
    packed_section.content =  packed_data
    packed_section.size = len(packed_data)
    packed_section.characteristics = (lief.PE.SECTION_CHARACTERISTICS.MEM_READ
                                    | lief.PE.SECTION_CHARACTERISTICS.CNT_INITIALIZED_DATA)

不知你是否还记得,我们在C程序里是要解析.packed名称的section的,且整个section是二进制文件中的最后一个section,因此C代码修正如下:

char* packed_PE = unpacker_VA + sections[p_NT_HDR->FileHeader.NumberOfSections - 1].VirtualAddress;

现在一切操作正常的话,对于支持ASLR的二进制文件(本次使用calc.exe测试)打包后,我们应该有3个section:.text.idata(upacker.exe的import table)和.rodata(要被打包的PE)

在这里插入图片描述

可以看到,.rdata消失了,运行一下,程序依然可以正常运行;可以发现,在.rodata中有一个完整的PE信息,这对于解密者来说没有什么秘密而言

2.简单的混淆

MZ和DOS stub这些在在.rodata中都可以找到,我们试着隐藏一下这些信息

为了简单处理,我们对整个输入文件进行异或处理;简单做法就是给.rdata放入input数据时异或一次,真正执行input数据前再异或一次进行解密

step 1:改变packer(python)

使用硬编码,对输入文件进行异或操作;为了让它更复杂一点,使用每个结果字节作为下一个字节的密钥(CBC加密模式)

def encrypt_data(data) :
    KEY = 0xAA
    result = [0] * len(data)
    for i in range(0, len(data)):
        KEY = data[i] ^ KEY
        result[i] = KEY
    return result

input数据放入.rodata前,调用encrypt_data函数加密input文件

packed_data = encrypt_data(list(input_PE_data)) 	# encrypt the input file data
packed_data = pad_data(packed_data, file_alignment) # pad with 0 to align with file alignment (removes a lief warning)

packed_section = lief.PE.Section(".rodata")
packed_section.content = packed_data

step 2:改变unpacker(C)

执行input文件前,要执行解密的过程,即执行上面pyhton中encrypt_data函数的逆运算

void decrypt_data(char* src, DWORD size) {
    DWORD oldProtect;
    //make sure we can write on the destination
    VirtualProtect(src, size, PAGE_READWRITE, &oldProtect);

    DWORD KEY = 0xAA;
    DWORD new_key = 0;
    for(DWORD i=0; i<size; ++i) {
        new_key = src[i];
        src[i] = src[i] ^ KEY;
        KEY = new_key;
    }
}

加载.rodata数据前,要调用encrypt_data进行解密

encrypt_data(packed_PE, sections[p_NT_HDR->FileHeader.NumberOfSections - 1].SizeOfRawData);

3.结果

被打包测试程序是calc.exe,最后得到的打包好的二进制文件依然可以弹出计算器

现在查看打包好的二进制文件,拥有的section更少,.rodata里面的内容已经被混淆了

在这里插入图片描述

仅仅一个简单的混淆,再想逆向出PE的完整内容就会增加很多难度;静态分析时,杀毒原件查看文件时于不会看到calc.exe的签名,因为calc.exe的所有内容都被异或处理了;动态分析时,某个时刻还是可以找到calc.exe的所有信息的

4.其他可能

  • 输入表包含了5个已知的函数(用来导入其他函数),他们是恶意代码常用的函数;我们可以使用LIEF添加许多其他看起来不那么可疑的内容,即使我们没有使用它们
  • 异或非常容易被破解;知道PE文件的头2个bytes是MZ,很容易Crack出关键字KEY和算法;这里可以使用压缩算法或者自己写的复杂算法
  • 避免添加一个完整的section,可以通过其他方式找到被打包的二进制数据

5.参考

磨刀砍柴Debug
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PETiger代码乱序混淆工具
01-29
-PETiger是什么? 是一款快速代码混淆工具,中间层加密,也就是说在使用PETiger之前可以进行加密 压缩,然后再使用PETiger加密保护,然后任然可以继续使用其他加密软件进行加密, 也可以直接使用PETiger完成全部加密。 如何保护软件最好? 目前PETiger为了操作简单没有SDK进去,对于关键代码先用加密软件进行SDK保护 起来然后通过PETiger加密即可有很强的反破解反调试能力,也可以软件保护内存不被 破解。 PETiger保护的强度如何? PETiger再内核中融入了多种加密软件使用的技术,多核心合为一个同时保护软件。 PETiger的自编程是什么? 把自己入的DLL代码加入到要保护的文件中,可以自己反调试代码,或者完善功能。
ISO_16750-2:2012_Part 2:Electrical loads .pdf
09-05
ISO_16750-2:2012_Part 2:Electrical loads 标准内容高清可复制,非扫描版。 道路车辆—电气和电子设备的环境条件和测试—第 2 部分:电气负载 ISO 16750-2:2012 适用于道路车辆的电气和电子系统/组件。 它描述了潜在的环境压力,并指定了为道路车辆上/内的特定安装位置推荐的测试和要求。 ISO 16750-2:2012 描述了电气负载。 ISO 16750-2:2012 未涵盖电磁兼容性 (EMC)。 电气负载与安装位置无关,但会因车辆线束和连接系统中的电阻而异。
ParallelComputing_part6:向量的标量积
03-17
ParallelComputing_part6
ISO_16750-1:2018_Part 1:General .pdf
09-05
ISO_16750-1:2018_Part 1:General 标准内容高清可复制,非扫描版。 道路车辆 — 电气和电子设备的环境条件和测试 — 第 1 部分:总则 ISO 16750 系列适用于车辆的电气和电子系统/组件。 它描述了潜在的环境压力,并指定了建议用于车辆上/车内特定安装位置的测试和要求。 本文档包含定义和一般注释。 ISO 16750 系列不涵盖电磁兼容性 (EMC)。
ISO_16750-3:2012_Part 3:Mechanical loads .pdf
09-05
ISO_16750-3:2012_Part 3:Mechanical loads 标准内容高清可复制,非扫描版。 道路车辆—电气和电子设备的环境条件和测试—第 3 部分:机械载荷 ISO 16750-3:2012 适用于道路车辆的电气和电子系统/组件。 它描述了潜在的环境压力,并指定了建议用于车辆上/车内特定安装位置的测试和要求。 ISO 16750-3:2012 描述了机械载荷。
MacOS环境-手操作系统-12-键盘中断机制
武子康
01-01 325
我们实现了键盘中断的响应 但响应的处理比较简单 只是向界面打印一条字符串而已本节 当键盘上的一个按键按下时 键盘会发送一个中断信号给CPU与此同时 键盘会在指定端口(0x60) 输出一个数值这个数值对应按键的扫描码(make code) 当按键弹起时 键盘又给端口输出一个数值 这个数值叫断码(break code).我们以按键按键’A’为例 当按键’A’按下时 键盘给端口0x60发出的扫描码是0X1E 当按键’A’弹起时 键盘会给端口0x60发送断码0x9E。
c++调用栈库函数_第7篇:C/C++程序栈-帧
weixin_39611765的博客
11-20 284
本篇详细讲解有关IA32约定中的程序栈帧,我栈顶到栈底的方向逐一回顾一下。首先分析栈底层的内存细节,需要你具备非常基础的汇编语法知识即可。如果你毫无概念,可以自行查看我以前在简书的汇编笔记,搜索关键字"铁甲万能狗 汇编"。当前栈帧从栈顶到栈底如下构成创建的参数表为要调用的函数建立的参数局部变量:即在函数内部声明的变量(如果有)保存的寄存器的上下文(如果有),当被调用函数返回之前,为调用者函数恢...
GCC编译选项速查手册
勤学如春起之苗,不见其增,日有所长! 辍学如磨刀之石,不见其损,日有所亏!
01-16 1761
Gcc编译选项速查手册 "-fno-builtin -fno-builtin-function" 不接受没有 __builtin_ 前缀的函数作为内建函数。 -mapcs-frame 对所有函数都生成一个遵从ARM程序调用标准的堆栈帧,即使在正确执行代码无需严格这么做时。使用此开关时指定“-fomit-frame-pointer”将不产生叶函数的堆栈帧。缺省...
代码混淆不一定要花大价钱,Code Virtualizer也能轻松搞定!
mnrssj的博客
09-22 1117
任何创建创新性应用程序,DLL或设备驱动程序的开发人员都希望将代码尽可能机密,以避免第三方公司/开发人员研究应用程序内的代码并为自己的利益而窃取代码。一些开发人员使用外部保护系统来打包应用程序并保护其免受攻击者的侵害,但是大多数时候,这些保护系统无法提供他们所需要的强度,从而使开发人员在完全解压缩应用程序后完全感到沮丧。 市面很多代码保护软件,虽然功能强大,但同样价格昂贵,小编今天为大家推荐一款性价比高的代码混淆软件Code Virtualizer。 Code Virtualizer不能像普通的打包器那
【交叉编译一】CMake编译选项
Swallow_he的博客
12-10 3427
1、常用的CMake选项具体含义如下: PROJECT(目标名称) ADD_DEFINITIONS(-g) 添加了之后,就相当于在编译的时候加上了-g选项 ADD_DEFINITIONS(-Os) 添加了之后,就相当于在编译的时候加上了 -Os选项 ADD_DEFINITIONS(-D DEBUG_WARN) 将在gcc命令行添加DEBUG_WARN宏定义 SET(CMAKE_CXX_FLAGS "") 编译器选项设置 SET(CMAKE_...
AndriodSDK_part2:
08-24
文件太大 只能分成两部分 part1+part2一起下载解压才能使用
Python 使用PEfile分析PE文件
最新发布
Gefangenes的博客
04-11 120
PeFile模块是Python一个强大的便携式第三方PE格式分析工具,用于解析和处理Windows可执行文件。该模块提供了一系列的API接口,使得用户可以通过Python脚本来读取和分析PE文件的结构,包括文件头、节表、导入表、导出表、资源表、重定位表等等。此外,PEfile模块还可以帮助用户进行一些恶意代码分析,比如提取样本中的字符串、获取函数列表、重构导入表、反混淆等等。PEfile模块是Python中处理PE文件的重要工具之一,广泛应用于二进制分析、安全研究和软件逆向工程等领域。
python软件快速开发_[原创]利用python+pefile库做PE格式文件的快速开发
weixin_34254848的博客
12-23 441
发现很多的朋友经常用到PE格式相关的开发,如解析PE文件的格式,获取相关的内容。比如常常用到的静态的病毒启发式检测模型的建立、病毒样本分类、查等。搜索了一下发现论坛里面没有我要讲的这个东西,于是我在这里向大家推荐pefile这个python库。这个是基于MIT licence的一个开源项目,你可以在上面做更多的开发。开发包的下载地址http://code.google.com/p/pefil...
哈工大计算机系统大作业——程序人生
weixin_42799444的博客
05-19 1403
摘要 一个简单的hello,却有着不平凡的人生。本文以hello为例,讲述了Linux下从C文件到可执行文件,从程序到进程,最后到程序循环结束的整个过程。其中我们将介绍关于预处理、编译、汇编、链接、进程管理、存储管理的各种细节。这些都有赖于计算机系统硬件和软件的共同支持,在所有系统部件的协调工作下,一个简单的应用程序也显示出非凡高效的结构和流程。 关键词:计算机系统;编译;内存管理;汇编; 第1章概述 1.1Hello简介 Hello程序...
gcc编译选项说明
qiuen311的专栏
04-21 5695
These machine-independent options control the interface conventions used in code generation.  Most of them have both positive and negative forms; the negative form of -ffoo would be -fno-foo.  In t
gcc的用法
weixin_54706831的博客
09-04 181
Linux基础学习:gcc的用法
gnu ld链接出现“ no .eh_frame_hdr table will be created.”
17岁boy的博客
12-23 3967
ld: error in 8259.o(.eh_frame); no .eh_frame_hdr table will be created. 问题描述: 我有三个文件: 8259a.c、pics.s、main.c 其中8259a.c依赖pics.s,而main.c依赖8259.c和pics.s 我想先将8259a.c和pics.s一起编译成.o文件 编译命令: gcc -m...
/usr/bin/ld: no .eh_frame_hdr table will be created.
nemo2011的专栏
03-23 4827
错误: /usr/bin/ld: no .eh_frame_hdr table will be created.原因:makefile 在生成.o目标文件时(g++  xx.cpp -o xx),忘记加-c选项了。原理:典型的MAKEFILE的文件依赖关系-c:只编译,不链接-o:既编译,又链接...
交叉编译-19:Linux裁剪库及可执行程序思路
zhuyunier的博客
02-22 1457
  当库和可执行程序在IPC端所占的空间有限制时,就需要考虑对库和可执行程序进行裁剪,以达到功能需求。现采用将所有的库编译成静态库,最后集成为一个可执行程序的方法,整理裁剪过程如下: 一、编译阶段 1、编译静态库为release版本,并添加以下编译选项: 编译参数 参数详解 -fvisibility=hidden 可以将所有导出的符号设置为隐藏,然后在库的代码中通过设置 __ at...
帮我把下列数据变为json格式,数据全为字符串格式:pageFlag1: add app_flag: 2 tx_date: 20230305 end_type: 2 is_pay_funds: apply_amt: 0 remark: 租赁到期终止 no: 20230609SYZC000293 cap_name: test0609 use_part: [69812]XXX银行812支行 cur_no: 1 manage_part: [69812]XXX银行812支行 lease_type: 2 exp_date: 20230305 use_person: gu_cap_code: fjr0901 manager: supply_name: [KH000426]王五2 supply_no: 王五2 cost: 76804.40 dep_dec_amt: 0 accde_amt: 0 wei_total_amt: 80000.00 wei_sure_amt: 3195.60 no_zh_: 20230609SYZC000305 end_type_zh_: 到期销账 flowable_: 1
06-14
"use_part": "[69812]XXX银行812支行", "cur_no": "1", "manage_part": "[69812]XXX银行812支行", "lease_type": "2", "exp_date": "20230305", "use_person": "", "gu_cap_code": "fjr0901", "manager": "...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值