一个简单的壳源码

最新推荐文章于 2023-02-08 00:45:00 发布
最新推荐文章于 2023-02-08 00:45:00 发布
阅读量3.2k 收藏 8
点赞数
分类专栏: 逆向工程 文章标签: 加密 api header exe 扩展 dos
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhw309/article/details/4976870
版权

最近出差,偶有闲暇,写了个简单的壳,先声明下,此壳部分内容借鉴看雪论坛某位大侠(现在搜索找不到了,所以名字忘记了)名为shell的程序。

主要实现有以个方面的功能:

1,对text块进行RC4加密,组织程序被IDA等静态工具分析。

2,替换程序中的部分API函数,让其执行到API函数时能跳到壳执行相关代码后再跳回。

3,在壳中加了CRC和自己随便写的一个CheckSum用来检验程序的完整性,以用来防止程序被修改。

4,加了部分anti。

 

此壳可扩充的空间:

1,可增加更多anti.

2,可扩展为输入表加密。

3,因为加壳后的程序被替换了API函数,所以执行时必定会跳回壳代码中执行,因此如果给壳做VM的话,可大大加大难度!此点本人已实现,但不好放出来:)

4,目前只支持exe文件,可扩展为支持dll文件的加壳。

 

摘录此壳的主要流程:

 CreatefileBak(OpenFileName);//加密前先创建备份文件
 PeFileToEncrypt.OnInitPE(OpenFileName);//建立映像文件,初始化 PIMAGE_DOS_HEADER dosHeader等信息
 bool IsValid=PeFileToEncrypt.CheckIfValidPE();//由PE文件里面的信息来判断是否为PE文件
 if(IsValid)//目前只支持对exe文件加壳
   {
  //pImageFileHeader->SizeOfOptionalHeader,可选头(文件头)大小,此字节一般用来添加块。
  PeFileToEncrypt.GetPoniterToSection();
  //pImageOptionalHeader->AddressOfEntryPoint,程序入口,RVA地址
  PeFileToEncrypt.GetEntryPoint();
  //初始化asm用的全局变量
  PeFileToEncrypt.InitGloablForAsm();
  //计算入口地址,便于被加壳文件的载入,计算后的入口地址即一般为0x400000+RVA(GetEntryPoint函数中得到)
     PeFileToEncrypt.CalculateOldEntryPoint();
  //计算节表尾部的RVA,即最后一个块的尾部地址

  PIMAGE_SECTION_HEADER pTmp_Setion=PeFileToEncrypt.pSection;

//先增加一区段
  DWORD sectionAddr;//为已加+(DWORD)pImageBase的值。
  sectionAddr = PeFileToEncrypt.AddsecHeader(".pack");//返回的地址为新增区块的文件首地址

  for(int i=0;i<PeFileToEncrypt.NumberOfSection;i++)
  //对每个section调用Encrypt_sections,能加密的节加密,不能加密的修改节名,修改节的属性
  {
     PeFileToEncrypt.Encrypt_sections(pTmp_Setion);//
           pTmp_Setion++;//下一个section
  }
  if(PeFileToEncrypt.IsEncrypted)//此变量表示需加密
  {
 // 在壳中加入RC4算法函数
   theApp.dwGlobelInjectAddress = PeFileToEncrypt.InjectRC4EncryptFuction(sectionAddr);
   //插入CRC32校验函数部分
   theApp.dwGlobelInjectAddress = PeFileToEncrypt.InjectCRC32Fuction(theApp.dwGlobelInjectAddress);
   //插入CRC32校验部分
   theApp.dwGlobelInjectAddress = PeFileToEncrypt.InjectWriteCRC32OrCheckSum(theApp.dwGlobelInjectAddress,
           PeFileToEncrypt.dwCRCChecksum,PeFileToEncrypt.dwCRC32FuctionAddress);
   //插入CHECKSUM校验函数部分
   theApp.dwGlobelInjectAddress = PeFileToEncrypt.InjectCheckSumFuction(theApp.dwGlobelInjectAddress);
   //插入CHECKSUM校验部分
   theApp.dwGlobelInjectAddress = PeFileToEncrypt.InjectWriteCRC32OrCheckSum(theApp.dwGlobelInjectAddress,
           PeFileToEncrypt.dwChecksum,PeFileToEncrypt.dwCheckSumFuctionAddress);
 
   theApp.dwGlobelInjectAddress = PeFileToEncrypt.InjectAntiDebug(theApp.dwGlobelInjectAddress);

  //插入API替换函数调用
   PeFileToEncrypt.InjectApiReplace();
   //最后插入Loder
   PeFileToEncrypt.InjectLoaderByWriteFile(sectionAddr);//此地址为文件偏移地址

   AfxMessageBox("加壳成功!");
  }

    } 
 else
 {
  AfxMessageBox("不支持此文件,请确认为有效PE文件!");

 }
  PeFileToEncrypt.CloseHandleOfPe();

 

 

具体源文件见相关下载。

zhw309
关注
  • 0
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
程序的CC++码.zip
05-11
程序的CC++码,供学习研究。加程序的CC++码,供学习研究。
一个不错的可执行程序加软件的
02-18
一个不错的可执行程序加软件的码,功能强大
ios 网站套码 webapp
05-10
修改好网址后 就可以直接用 webapp是不让上架的 只做内部测试
【Linux】硬链接和符号链接(软连接)都可以修改原文件吗?--相同点与不同点
IDoWhatIDo_92761的博客
07-20 4693
答案是都可以修改 测试 测试命令如下 $ cd /tmp # 所有人都有rwx权限 $ touch test.txt $ vim test.txt #写入: this is the test file $ ln test.txt hardlink.txt #硬链接 $ ln -s test.txt symboliclink.txt #符号链接 $ vim symboliclink.txt # 换行写入symboliclink writes $ tail test.txt # 可以修改 $ vim ha
Linux备份日志目录脚本,Linux系统配置文件简易shell备份脚本
weixin_28864139的博客
04-29 78
导读在计算机科学中,Shell俗称(用来区别于核),是指“为使用者提供操作界面”的软件(命令解析器)。它类似于DOS下的command.com和后来的cmd.exe。它接收用户命令,然后调用相应的应用程序。线上的配置文件以及应用配置文件是非常有必要进行备份的,不排除能够上服务器的朋友没有备份就直接修改出错或者其他人员误操作的情况。现在花了十分钟简单写了一个备份脚本,另外也可以自己加上其他备份脚本...
神马tv神马19个播放器.zip
10-03
多人需求的码,自己测试了下,挺好用的
原理及实现流程与导入表结构分析(C++代码)
Tokameine的博客
05-29 1430
参考文章: 《加密与解密》 https://blog.csdn.net/qq_31507523/article/details/89438410
器第一部分:代码(个人编写,可能有些地方有错,望指正)
WH371312165的博客
02-08 878
代码的相关个人心得以及讲解
原理与简单实现加
07-15 1662
 {*****************************************************************AddShell()自于前一段时间有写的addsection()新增区段代码,在增加区段代码的基础上,追加了1.修改启动入口点位置2.增加一段头xor $50的代码function AttachStart-function AttachEnd这一段代码是先填
转: 加原理与简单实现加(delphi码)
weixin_30519071的博客
06-10 220
来自:http://bbs.pediy.com/showthread.php?t=57671 {***************************************************************** AddShell()自于前一段时间有写的addsection()新增区段代码, 在增加区段代码的基础上,追加了 1.修改启动入口点位置 2.增...
神马TV20码2021
01-01
神马TV20码2021 这个码网上很多了,但很多地方不行,比如搜索,图片不显示等。 此版本经过很多人研究交流,基本上是经过多次的测试摸索得出的, 修复了搜索问题,修改了一段代码,修复了有些资站图片不显示,目前网页端都正常,CMS是最新版本的,压缩包内都有截图,支持在线更新,目前个人觉得是免费的完美版本了,到此APK在机顶盒测试全部OK,就是在播放详情页HTTPS图片无显示,这是资站采用了https,其他资站都正常,现回收点本钱 ,出人工帮你搭建!需要的私信,帮你搭建,测试演示都有!
PHP在线播放神马视频电影网站码 带VIP系统+采集规则
10-12
PHP在线播放神马视频电影网站码 带VIP系统+采集规则
最新版293神马5.4影院TV码电视盒子TV版APP对接苹果cms
01-21
2022.01.21 修复扩展分类多分类筛选不显示的问题 2022.01.15 修复后台点击会员名字出现404错误 2022.01.14 修复卡密搜索异常以及搜索不显示的问题。 2022.01.13 修复首页推荐图片变形问题 2022.01.12 更新支付接口 2021.12.24日: 统一线路。自动选择。 多线路模式下,可以选择多线路展示或单线路展示。单线路自动选择最快资播放! 2021.11.23日: 修复线路添加不显示的问题。 更新播放器内核3.3.6。 修复后台log日志文件不读取的问题。 更新预加载1.6s提升至2.3秒。 2021.11.16日: 修复播放器进度条过快的问题。 向下兼容至2014年电视机型。 修复多线路不显示的问题。 2021.10.23日: 更新后台ui。
网页软件APP套码(好萌nicemoe.com)
09-01
不好用别怨我,这是提取自目前里番新番动漫资站好萌 nicemoe.com 的软件码,给大家新人学习交流的,看看WebView怎么,话说这用的是advanceWebView这个项目
最新 神马TV(前端+后端原骡马TV、TPTV含文字教程,直接对接苹果cms.zip
09-13
亲自尝试,按照教程可搭建。完美运营
一个简单
01-19
用C++实现的一个简单的Demo,其中实现了代码段简单的加密。麻雀虽小,五脏俱全。包含了许多编写加软件的基本方法。
Android应用码适合做套的简易浏览器
07-29
本例子是一个简单的安卓浏览器项目码,如果你已经搭建了一个适合手机浏览的服务端网站比如公司主页等,完全可以把这个码当作外来做一个属于自己的“套客户端”,也就是套着安卓客户端的子实际上是放了一个...
压缩
06-07
一个压缩码,VC6写的一个简单的压缩, 大致思路: 把被加程序的所有区段,放到压缩后放到第一个区段,资和TLS段我选择不压缩,就直接拷贝到后面的 段中,添加一个shell段来做引导,解压压缩过的所有区段
分享带截图小程序
02-15
这套带截图小程序还是很不错的,码界面比较简洁,主要功能就是实现给图片添加手机外,手机外支持选择多种品牌,有了这个小程序,如果我们想要发些带手机的图片,我们就不需要一个手机打开照片,一个手机拿...
写一个简单的网页
最新发布
05-30
以下是一个简单的网页码示例: ```html <!DOCTYPE html> <title>My Website <h1>Welcome to My Website <p>This is a paragraph of text on my website. <li>List Item 1 <li>List Item 2 <li>...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值