手动加壳

最新推荐文章于 2023-08-29 17:16:04 发布
最新推荐文章于 2023-08-29 17:16:04 发布
阅读量799 收藏 3
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wojiukanxia/article/details/104656058
版权

文章目录

概述

什么是壳

壳是在正常程序代码运行之前先运行的一段代码

为什么要加壳

加壳的主要目的有以下几点

  1. 程序太大,加压缩壳对主程序数据进行压缩,接收空间
  2. 为了防止程序被静态分析,加壳后加密原有数据,骗过IDA等静态分析工具
  3. 为了防止程序被动态跟踪,加壳后的代码检测调试器是否存在,是否运行在虚拟机,防止程序被恶意分析破解
  4. 恶意程序加壳后隐藏特征码,绕过杀软的扫描等

大致种类

一般的壳分为两种:
一种是普通的壳,如ASP,UPX等加壳后程序代码和壳代码之间有明显的分界线,即相互独立,一般壳代码负责还原原始程序数据,执行完毕后壳代码不再有用,将控制权完全交还给源程序。

另一种是强壳,这种壳一般与源程序相互交叉,即加壳时会修改原有代码,并且壳的代码会随着源程序的执行一直执行,如VMP,Themida壳等,加壳后修改源程序的OPCODE,该种壳与源程序没有明显的界限,所以脱壳时也比较麻烦。

壳代码的一般执行流程

  1. 解密源程序的数据
  2. 按照区段头的描述将源程序区段加载到指定位置
  3. 修复程序的IAT
  4. 修复程序的重定位
  5. 跳转到原始程序的OEP处

如何加壳

使用010Editor手动加壳

以前面的010Editor注册工具为例,手动加壳主要有以下步骤

  1. 在节表中添加一项,即添加一个区段,修改相应的数据用于保存壳的代码数据

    虚拟大小和文件大小自己按需增加,虚拟地址根据上面的一个区段进行计算,比如上面的 虚拟地址
// 虚拟地址 = 上一区段的VirtualAddress+align(VirtualSize,0x1000)
0x00BFB000 = 0xBAB000+align(0x4FBCA,0x1000)
//文件偏移 = 上一区段的pointerToRawData+sizeOfRawData
0x008F9000 = 0x8A9400+0x4FC00

	其中的0x1000为内存分页大小,一般32为下是0x1000

  1. 将FileHeader.NumberOfSection加一,区段数量加一
    在这里插入图片描述

  2. 在文件末尾添加指定长度的空间,用于写入代码和数据
    在这里插入图片描述
    在这里插入图片描述

  3. 修改optionalHeader.sizeOfImage,加上新添加的数据长度
    在这里插入图片描述

  4. 添加代码

    1. 在导入表中查找MessageBox函数,用于壳代码弹出对话框
      在这里插入图片描述
    2. 计算OEP跳转偏移,计算公式如下
      跳转偏移 = 目标地址 - 当前E9指令地址 - 5(jmp指令长度)
      跳转回原OEP指令为
      // 偏移 = 目标地址 - 当前地址 - 指令长度
      // 偏移 = 0x2F8124 - 0xBFB02E - 5 = 0xFF6FD0F1
      E9 F1D06FFF
    3. 最终构造壳代码如下
      在这里插入图片描述
    4. 修改壳区段的属性为 可读可写可执行,包含数据和代码
      在这里插入图片描述
    5. 关闭重定位
      将NtHeader.OptionalHeader.DllCharacteristic.Dynamic修改为0,或者将
      NtHeader.Fileheader.File_Relocs_Stripped修改为1即可完成重定位的关闭
      这样程序就不会发生重定位,而是将程序加载在imageBase处。
    6. 修改OEP
      将NtHeader.OptionalHeader.addressOfEntryPoint修改为新的入口点
      在这里插入图片描述
    7. 程序运行结果
      在这里插入图片描述
      此时程序没有产生重定位
      在这里插入图片描述

  5. 在重定位表中添加几项,用于完成新添加代码的重定位
    在这里插入图片描述
    根据壳代码中的代码,计算需要重定位的地址如下
    在这里插入图片描述
    按照重定位表结构在重定位表后追加3个重定位项
    在这里插入图片描述
    修改数据目录表中的重定位项的size为修正后的size
    在这里插入图片描述
    保存后重新运行程序发现程序已经产生了重定位,且运行正常
    在这里插入图片描述

总结

本次手动加壳主要涉及以下几个方面的知识点

  1. PE文件结构
  2. PE文件中区段的管理方式–>区段表
    添加一个区段时需要修改的点:
    1. 添加一个区段描述符表,修改相应的数据
    2. 将FileHeader中的区段数量加1
    3. 在文件末尾添加指定长度的数据空间
    4. 修改映像大小 sizeOfImage
  3. 程序中外部函数的调用方式–>IAT调用
    由于dll等文件的重定位,导致我们调用dll中的外部函数时无法实现直到我们应该调用的地址,所以才会有IAT的调用,大致为:
    1. 在内存中规定一段空间用于保存API地址
    2. 我们调用API时使用FF15调用该内存区域中的值
    3. 文件加载时根据导入表往这块内存的指定位置写入外部函数的真实地址
    4. 这样就实现了所谓的位置无关代码,即通过一段内存空间进行中转,加载时修正内存的方式,这样不管dll加载在何处,我们都能调用到正确的函数。
  4. 重定位的实现方式–>重定位表
    程序中存在许多直接使用绝对地址的地方,比如我们期望程序加载在0x400000地址处,然后代码中使用了0x420000处的数据,但是当我们的程序由于某些原因不能放在0x400000处了,那么0x420000处就已经不是我们期望的数据了,这样就无法正确运行
    重定位表中保存的就是哪些**地址****(注意重定位表中保存的是地址,真正需要修正的是该地址处的值)**处是写死的地址,在发生重定位时就要对这些地址处的内容进行修正,以便找到真正的数据。
    注意:在重定位表中手动添加重定位项时,要在末尾添加两个字节的零,并且要修正数据目录表中重定位表的size,否则系统就不会对程序进行重定位了。
bicycleAE86上山了
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【Windows】从零开始写一个加密壳
古月浪子的博客
02-02 2818
从零开始写一个加密壳认识PE文件结构DOS头NT头EPImageBase重定位表Section TablePE结构总览加壳思路新增Section更改EP加密.text段保存ImageBaseShellCode获取编译好的shellcode编写shellcode获取所需函数手动修复重定位集成shellcode输入与输出成品检验ExeInfoPEIDA 7.5直接运行x32dbg总结及源代码ShellShellcodeGenerator (本文仅为个人学习记录,不保证文章中没有学术性错误或笔误) 认识PE文件结
简单的手工加壳
Winter_Zero的博客
12-27 533
1.去掉随机基址 修改完后记得保存。 2.记录OEP及添加新区段的信息 OEP:00011339(RVA) EP:00020000(RVA) 区段名称:. Pack 虚拟 / 物理大小(区段的大小):500 文件偏移:00009600 3.给. Pack区段添加数据 根据文件偏移,找到区段在文件中的位置。 快捷键:Ctrl + G (00009600) 再根据区段的大小(刚才我们设置了区...
论如何给程序加壳
雾削木的CSDN博客
08-25 3113
加壳是一种很好的压缩技术,当你编写的程序如可直接看到源码的bat,vbs,html等,还是 exe,dll等,都可以进行加壳,如果没有找到你编写文件的后缀,可以采用转换的方法,列如:bat转exe,vbs转exe等等等,因为转换过本身就不容易看到源码,所以可以再通过加壳的方式,进行层层加密,使你的程序更加不容易被破解,当然,这也是有副作用的,如果你加 太多的壳,会导致你的程序启动很慢,甚至启动不了,而且还有一种可能性就是失去兼容性, 本来你的程序是可以在XP , win7 win10 win8等系统上运行的
加固加壳分析(2)_给apk手动加壳
HURUWO的技术博客
10-21 232
https://github.com/ray-tianfeng/dex-shell https://www.cnblogs.com/chenxd/p/7820087.html 加壳原理和流程 从整体来看我们需要把dex文件保护到so里面去,因此我们需要进行三个步骤 1.打包生成出源Apk 2.解开出源Apk核心的Dex文件 3.将分解出来的Dex进行加壳并且组装回去 4.为了避免签名冲突问题还要进行一个重新签名过程 ...
给程序进行简单的加壳
AShin9的博客
12-20 3608
目录 一、手工加壳介绍 二、具体实现 1.首先用LordPE打开这个程序的区段表,添加一个新的区段。 2.给新添加的区段设置好虚拟大小和物理大小 3.再用010Editir打开这个程序,在新添加的区段增加200H字节。 4.再在LordPE上修改OEP为我们新添加的那个区段 ​ 5.将代码段的属性添加可写 6.在010Editor中将代码段的数据进行异或加密 7.再把随机基址关掉 8.保存好后打开OD,添加新OEP的代码 9.对修改后的汇编代码右键后保存为新的程序 一、手工加壳
如何写自己的壳
daiyu22的专栏
07-11 1642
Writing Your Own Packer - by BigBoote --------------------------------------------------------------------------------Intro Why write your own packer when there are so many existing ones to choose fro
UPX win64 手动脱壳 手动加壳
最新发布
08-23
手动脱壳 UPX 压缩的可执行文件,你可以按照以下步骤操作: 在下载的文件夹打开命令行工具 使用 UPX 压缩命令: upx 使用 UPX 解压命令: upx -d 其中 <path_to_your_executable> 是你要解压的 UPX 压缩文件的...
关于如何使用shellter以及shielden对于正常软件的双重加壳,过火绒和360
07-16
7. **Shielden二次加壳**:Shielden是另一个加壳工具,用于进一步加密已加壳的木马,增强免杀效果。通过Shielden的操作,可以生成一个新的加壳文件,这个文件在经过火绒等杀毒软件检测时,能够更好地避免被检测出来...
dll加壳c语言,使用VC自己动手编写加壳程序
weixin_39743824的博客
05-21 833
《使用VC自己动手编写加壳程序》由会员分享,可在线阅读,更多相关《使用VC自己动手编写加壳程序(29页珍藏版)》请在人人文库网上搜索。1、使用VC自己动手编写加壳程序阅读对象:想写壳的新手。高手掠过,本文仅限于写壳入门。基本要求:了解VC+6.0基本使用方法;了解PE格式,不熟悉的地方能够通过查阅资料弄懂;(1) 生成界面,完成文件操作主要内容:生成界面,完成打开文件对话框。首先说一下写作原因。最...
易语言编译自动UPX加壳源码
08-25
此源码实现了自动化的UPX加壳功能,对于易语言开发者来说,这意味着他们无需手动操作UPX工具,只需编译程序,源码就会自动调用UPX对生成的可执行文件进行加壳。这极大地提高了开发效率,也简化了发布流程。 在...
VMP0.71加壳软件
03-11
VMProtect允许生成和验证序列号,手动和自动均可。还可设置过期时间,限制免费更新等。 国际知名厂商,值得信赖 国际老牌名气厂商VMProtect software长期致力于开发研究软件保护程序,开发的工具软件是目前国际上最...
逆向之手工加壳——004
qq_31507523的博客
11-02 511
逆向之手工加壳 试验工具: LordPE、010Editor、OD 试验程序是vs2017编译的控制台程序,开始加壳。 一、添加区段   使用LordPE打开程序, 添加区段,新区段就是我们的壳   找到NewSec区段,右键编辑,添加0x200字节大小,随后点击保存。保存后可以运行下,发现运行不起来。   使用010Editor打开,找到最后,按Ctrl+Shift+i 添加0x200个字节大小。保存之后,点击程序发现可以正常运行了。 二、修改入口点(OEP)   同样用LordPE打开,
如何选择加壳工具?
03-31 780
加壳工具是指注入一段功能代码到 APP 中,并可以将原始的二进制指令经过混淆、虚拟化等手段进行等价变换,实现满足 APP 多种安全需求。根据功能的不同可以分为:压缩壳、加密壳、虚拟机壳。 加壳工具的分类 压缩壳 以隐藏程序代码和数据为目的,并将隐藏后的代码和数据进行压缩。但是,压缩壳由于在运行时会将代码段和数据段还原,所以安全性较低。 加密壳 功能与压缩壳类似,可以将代码和数据进行加密,...
010Editor
oBuYiSeng的博客
07-31 1015
010Editor  是一个全新的十六进位文件编辑器 网盘地址: http://pan.baidu.com/s/1kT7ZUez
加壳与类加载器
nini_boom的博客
11-25 357
全面了解类加载器的分类、作用以及源码分析,了解双亲委派机制,动态加载第三方dex的函数。 类加载器的分类及作用 1、类加载器的种类 JVM的类加载器包括3种: Bootstrap ClassLoader(引导类加载器) C/C++代码实现的加载器,用于加载指定的JDK的核心类库,比如java.lang、java.uti等这些系统类。 Java虚拟机的启动就是通过Bootstrap,该Classloader在java里无法获取,用于加载lib下的类。 Extensions ClassLoader(.
查壳去壳和加壳的使用指南
m0_57485346的博客
11-13 2398
查壳去壳和加壳的使用指南(附peid简单使用)
windows网络编程_Windows 网络编程:加壳与脱壳
weixin_39867142的博客
12-09 467
一次性进群,长期免费索取教程,没有付费教程。教程列表见微信公众号底部菜单进微信群回复公众号:微信群;QQ群:460500587微信公众号:计算机与网络安全ID:Computer-network一、手动加壳壳是一种较为特殊的软件。壳分为两类,一类是压缩壳,另一类是加密壳。当然,还有介于两者之间的混合壳。下面先来手动为一个可执行文件加一层外壳,需要准备的工具有C32ASM、LordPE、添加...
软件保护技术:加壳与脱壳
Reveone的博客
08-29 3979
以UPX为例对加壳原理进行粗浅的分析,以及对UPX加壳后的程序进行手工脱壳实操
PE头之IMAGE_OPTIONAL_HEADER解析
ChuMeng1999的博客
10-17 1876
目录预备知识一、相关实验二、C32Asm三、LordPE实验目的实验环境实验步骤一实验步骤二1.基地址与入口地址的查看2.子系统查看3.SizeOfImage验证实验步骤三 预备知识 一、相关实验 本实验要求您已经认真学习和完成了《IMAGE_DOS_HEADER解析》、《PE头之IMAGE_FILE_HEADER解析》。 二、C32Asm C32Asm是一款国产的16进制编辑器,可以十分方便的对二进制文件进行各种编辑操作,同时支持反汇编操作。 本系列实验主要使用C32Asm作为编辑器,同类的编辑工具还有W
uniapp项目加壳
04-11
UniApp是一种基于Vue.js框架的跨平台开发框架,可以用于开发同时运行在多个平台(如iOS、Android、Web等)的应用程序。而加壳则是指对应用程序进行保护和加密,以防止源代码被恶意篡改或者盗取。 在UniApp项目中,加壳可以通过以下几种方式实现: 1. 第三方加壳工具:可以使用一些第三方的加壳工具,如腾讯乐固、360加固等,这些工具可以对应用程序进行加密和混淆,提高应用程序的安全性。 2. 自定义加壳方案:开发者也可以自己实现加壳功能,通过对应用程序进行代码混淆、资源加密等操作,增加应用程序的安全性。 3. 动态加载:UniApp支持动态加载插件和模块,可以将一些敏感的代码或者资源通过动态加载的方式引入应用程序,从而减少源代码的暴露。 需要注意的是,加壳虽然可以提高应用程序的安全性,但也可能增加应用程序的体积和运行效率。因此,在选择加壳方案时需要综合考虑安全性、性能和用户体验等因素。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值