刚开始见到这个思路是看到周大师用这个东西做的免杀,当时感觉这个想法很好,但是由于当时对PE结构了解的少,看到二进制的东西就打怵,所以当时也没能成功的去实现这个思路,只是简单的记录了一下TLS的特性,直到最近在看核心编程的某一章,里面又提到了TLS,让我想起了当时没有成功实现的那个思路,所以就又尝试了一次,用了一下午实现了这个TEXT代码段加密的思路。

功能就是把PE文件的TEXT段进行加密,隐藏他的静态代码段特性,在运行的时候抢在main函数执行之前把代码段直接在内存里面解密(不然就崩溃了),从而达到静态代码隐藏功能。

先说下TLS(线程本地存储),这个东西平时用的并不多,分为静态TLS和动态TLS,主要是为了给程序做预处理以及实现存储隔离的思路,就是比如一个全局变量,N个线程同时访问,可以不上锁,大家通过TLS自己每人有一个自己的备份等等.然而今天用的不是这方面,今天要用的是静态TLS,静态TLS也有很多特性和功能,这里不废话,需要的可以自行搜索,就用到一点,TLS可以在main函数执行之前加载并且调用,也就是在干活之前先执行TLS然后在进入main函数做事情,这个就是重点,这样的话就可以通过先按代码段加密,然后在TLS部分进行代码解密,这样静态PE文件看上去就是一个text段被加密的了。

说下实现思路(细节并不固定,很多地方可以DIY).

(1)首先找到一个位置存自己的密码(用于加解密代码),再找一个地方存一个key,这个key用来标记这个PE文件是不是已经被我们加密过了,防止二次加密。

我是直接在DOS头里面存的,在1的位置存的一个KEY用于标记这个东西是不是被自己处理过了,这个地方并没有写成一个固定的值,不然感觉很容易暴露,写的是一个随机计算出来的值,最后我会根据这个地方的值是否满足自己的公式来确定这个文件是不是自己处理过的,当然这个地方默认是0x90这么写也容易暴露,后续可以换位置写。2的位置是用来存密码的,用于加解密代码段内容。

(2)然后就是在自己的代码段里面留一个用于确定TLS代码大体位置的值:

注意这个地方是用汇编写的,不要用变量或者其他,汇编写的目的是防止数据被编译到数据段里面去,这样写直接在TEXT段里面找这个序列,然后根据这个序列的位置大体确定TLS函数的位置,然后在向两边扩展一个长度,用于猜测TLS函数代码部分,防止加密的时候误伤了这部分代码。还有就是一定要注意一个问题:

上面两个是对应的,但是仔细观察里面的序列对应关系,...表示今天下午被这个地方坑了好一会。

当然这个key的序列可以不写死,毕竟写死之后也会留下特征,由于时间原因我是临时写死了,其实可以这样,自己写一个递增的式子,然后每次随机生成一个满足式子的序列,在校验的时候我们每次固定取出来长度,然后依次校验这段长度是否全部满足地推公式,这样来判断key的位置,之前我这么干过,当时因为写的是递减的式子,吃了不少亏,记住要递增,原因是 5 / 2 = 2  这种情况下在结合概率,很容易出现误判。

这样的话,我们把key序列写到TLS代码里之后整个代码段大体是这样样子:

红色的部分,标记的位置是通过key序列找到的TLS代码定位坐标,然后前面扩展0x200,后面扩展0x1000这样得到的区域是自己估算的TLS函数区域,这个部分是处于代码段里但是不能进行加解密的部分(0x200和0x1000这个可以自己根据实际情况定义),然后两端的部分可以通过XOR或者其他方式直接处理,在编译完成之后,通过辅助程序把编译好的PE文件加载到内存里,然后找到代码段,然后找到key序列坐标计算出保护区域,然后把这个代码段除了保护区域的其他部分全都加密,最后再把相关信息,比如加密的密码以及标记等填充在相关位置上(这里我是填在DOS头里面了),这样加密部分就搞定了(通过辅助程序),解密的话代码是直接写在TLS里面的,同样的思路,只不过的是自己所在的进程空间的地址而已。

然后看一个处理过和处理前的PE文件的大体区别:

存储标记和加密key

修改代码段读写权限

加密代码段

受保护的TLS函数段:

最终达到PE文件的代码段记性加密的思路,用在静态免杀和夹克程序里。

大体思路就是上面那些,很多细节和坑点都没有写,太多了不写了,对于这样的东西提示一个大家容易犯的通病,就是忽略:

1.了解思路

2.亲自实现出来

3.产品化,发版出去

这三个的区别,很多人以为一看,嗯,这个思路可以了。然后就拉倒了,其实你不一定能写出来,就算你写出来了,也不一定能达到稳定发版的水平,这个是平时最容易犯的错误(包括我),当然至于做到什么程度,要看小伙伴们的初衷及其需求,上面做的那些就是为了让小伙伴达到1的目的,至于2和3大家就自己实现把,只有去尝试写才能理解和发现这里面到底有啥坑点,总之我不会告诉别人 今天被一个SB错误坑了好几个小时,一直误以为是内存加密有问题。

传了一下下午写的一个实现代码,没有经过强测试,自己在家写着玩的。仅供大家思路参考:

http://download.csdn.net/detail/u013761036/9726645

TLS实现代码段加密的更多相关文章

  1. bss段,代码段及数据段,堆栈段的区别

    bss段,代码段及数据段,堆栈段的区别 时间:2012-11-21 10:0772人阅读 BSS段:BSS段(bss segment)通常是指用来存放程序中未初始化的全局变量的一块内存区域.BSS是英 ...

  2. 在SuperSocket中启用TLS/SSL传输层加密

    关键字: TLS, SSL, 传输层加密, 传输层安全, 证书使用, X509Certificate SuperSocket 支持传输层加密(TLS/SSL) SuperSocket 有自动的对TLS ...

  3. WPF自定义RoutedEvent事件代码段

    今天在写东西的时候,发现常用的代码段里没有RoutedEvent的,因此,写了一个代码段,方便以后使用,顺便记录一下,如何做代码段. 1.在项目中新建一个XML文件,将扩展名修改为snippet. 2 ...

  4. JavaScript代码段整理笔记系列(二)

    上篇介绍了15个常用代码段,本篇将把剩余的15个补齐,希望对大家有所帮助!!! 16.检测Shift.Alt.Ctrl键: event.shiftKey; //检测Shift event.altKey ...

  5. 我们为什么要看《超实用的Node.JS代码段》

    不知道自己Node.JS水平如何?看这张图 如果一半以上的你都不会,必须看这本书,一线工程师用代码和功能页面来告诉你每一个技巧点. 都会一点,但不知道如何检验自己,看看本书提供的面试题: 1.     ...

  6. 《超实用的JavaScript代码段》—— 读后总结

    这本书全是代码,从头到尾跟着坐下来确实收获很多.比那些古板的教科书式的理解更多,不过书中并不是每个例子都做了,有的作者封装的太多,觉得看了收获不多,就没细看——比如模块渐变.有空好好学学这段的代码. ...

  7. Visual Studio常用小技巧一:代码段+快捷键+插件=效率

    用了visual studio 5年多,也该给自己做下备忘录了.每次进新的组换新的电脑,安装自己熟悉的环境又得重新配置,不做些备忘老会忘记一些东西.工具用的好,效率自然翻倍. 1,代码段 在Visua ...

  8. 使用eclipse开发Morphline的Java代码段

    背景:morphline是一个轻量级的etl工具.除了提供标准化的方法之外,还可以定制化的开发java片段.定制化的java片段会在加载时被作为一个独立的类编译,对源数据作处理. morphline关 ...

  9. 前端福利!10个短小却超实用的JavaScript 代码段

    JavaScript正变得越来越流行,它已经成为前端开发的第一选择,并且利用基于JavaScript语言的NodeJS,我们也可以开发出高 性能的后端服务,甚至我还看到在硬件编程领域也出现了JavaS ...

随机推荐

  1. 为什么要用Spring Boot?

    什么是Spring Boot?   Spring Boot是由Pivotal团队提供的全新框架,其设计目的是用来简化新 Spring 应用的初始搭建以及开发过程,该框架使用了特定的方式来进行配置,从而 ...

  2. Linux Kernel 0.12 启动简介,调试记录(Ubuntu1804, Bochs, gdb)

    PS:要转载请注明出处,本人版权所有. PS: 这个只是基于<我自己>的理解, 如果和你的原则及想法相冲突,请谅解,勿喷. 前置说明   本文作为本人csdn blog的主站的备份.(Bl ...

  3. 16. 使用vue3结构及配置管理

    主要内容: vue-cli2和3的区别 创建vue-cli3脚手架 vue-cli3项目的目录结构 vue-cli2和vue-cli3中 main.js文件的区别 vue-cli3的配置文件管理 一. ...

  4. 安全框架Drozer安装和简单使用

    安全框架Drozer安装和简单使用 说明: drozer(即以前的Mercury)是一个开源的Android安全测试框架 drozer不是什么新工具,但确实很实用,网上的资料教程都很多了,最近自己项目 ...

  5. HDU_3359 Kind of a Blur 【浮点型高斯消元+BFS】

    一.题目 Kind of a Blur 二.分析 题目读起来挺费劲的. 主要就是要求一个矩阵,其中每个点及其于这个的曼哈顿距离小于D的点的值总和的平均值就是新生成的矩阵. 给定新生成的矩阵,求初始矩阵 ...

  6. Nodejs学习笔记(3) 创建服务器:Web 模块(http)与 express 框架

    目录 参考资料 1. 使用 http 模块创建服务器 1.1 实现思路及代码 1.2 HTTP 结构 1.2.1 Request中的重要字段 1.2.2 Response 头信息:文件类型.状态码.连 ...

  7. python中对类的方法中参数self的理解

    我们通过下面的代码来对参数self进行理解 #coding:utf-8 2 class washer(): 3 def wash(self): 4 print("洗衣服") 5 p ...

  8. Android 开发学习进程0.30 builder模式创建popwindow

    builder模式创建自定义popwindow builder设计模式 将一个复杂的对象构建与它的表示分离,简化代码的使用方式.当对象有多个参数或多个零件同时初始化方法同时初始化方法有默认值时,采用此 ...

  9. 记录给树莓派刷Raspberry Pi OS(Raspbian)系统的配置流程

    准备材料 树莓派(一定要贴散热片,最好再加个小风扇) TF内存卡 (记得选传输规范为Class10标准的) 读卡器 电脑(这里我使用的电脑是Windows系统,其它系统可能与下面的步骤有出入,还望悉知 ...

  10. [.net] 关于Exception的几点思考和在项目中的使用(一)

    本文链接 https://www.cnblogs.com/hubaijia/p/about-exceptions-1.html 关于exception的基本语法和作用,这里不再赘述,下面记录一下我在项 ...