加壳的原理就是加密或者压缩程序中的已有资源,然后当程序执行后外壳将模拟PE加载器对EXE中的区块进行动态装入,下面我们来自己实现一个简单的区块加解密程序,来让大家学习了解一下壳的基本运作原理。

本次使用的工具,依旧是上次编写的PETools: https://www.cnblogs.com/LyShark/p/12960816.html

加密第一个节表:

#include <stdio.h>

#include <Windows.h>

#include <ImageHlp.h>

#pragma comment(lib,"Imagehlp.lib")

void EncrySection(LPSTR szFileName)

{

	HANDLE hFile = CreateFile(szFileName, GENERIC_READ | GENERIC_WRITE, FILE_SHARE_READ,

		NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL);

	HANDLE hMap = CreateFileMapping(hFile, NULL, PAGE_READWRITE, 0, 0, 0);

	HANDLE lpBase = MapViewOfFile(hMap, FILE_MAP_READ | FILE_SHARE_WRITE, 0, 0, 0);

	PIMAGE_DOS_HEADER DosHdr = (PIMAGE_DOS_HEADER)lpBase;

	PIMAGE_NT_HEADERS NtHdr = (PIMAGE_NT_HEADERS)((DWORD)lpBase + DosHdr->e_lfanew);

	PIMAGE_FILE_HEADER FileHdr = &NtHdr->FileHeader;

	PIMAGE_SECTION_HEADER pSection = IMAGE_FIRST_SECTION(NtHdr);

	printf("节表数量: %d \n", FileHdr->NumberOfSections);

	printf("节虚拟地址: %x \n", pSection->Misc.VirtualSize);

	printf("读入FOA基地址: %x \n", pSection->PointerToRawData);

	printf("读入节表长度: %x \n", pSection->SizeOfRawData);

	DWORD dwRead = 0;

	PBYTE pByte = (PBYTE)malloc(pSection->SizeOfRawData);

	SetFilePointer(hFile, pSection->PointerToRawData, 0, FILE_BEGIN);

	memset(pByte, 0, pSection->SizeOfRawData);

	ReadFile(hFile, pByte, pSection->SizeOfRawData, &dwRead, NULL);

	for (int x = 0; x < pSection->SizeOfRawData; x++)

		pByte[x] ^= 0x10;

	SetFilePointer(hFile, pSection->PointerToRawData, 0, FILE_BEGIN);

	WriteFile(hFile, pByte, pSection->SizeOfRawData, 0, FILE_BEGIN);

	UnmapViewOfFile(lpBase);

}

int main(int argc, char * argv[])

{

	EncrySection("c://win32.exe");

	system("pause");

	return 0;

}

当需要打印第二个节只需要递增指针.

void EncrySection(LPSTR szFileName)

{

	HANDLE hFile = CreateFile(szFileName, GENERIC_READ | GENERIC_WRITE, FILE_SHARE_READ,

		NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL);

	HANDLE hMap = CreateFileMapping(hFile, NULL, PAGE_READWRITE, 0, 0, 0);

	HANDLE lpBase = MapViewOfFile(hMap, FILE_MAP_READ | FILE_SHARE_WRITE, 0, 0, 0);

	PIMAGE_DOS_HEADER DosHdr = (PIMAGE_DOS_HEADER)lpBase;

	PIMAGE_NT_HEADERS NtHdr = (PIMAGE_NT_HEADERS)((DWORD)lpBase + DosHdr->e_lfanew);

	PIMAGE_FILE_HEADER FileHdr = &NtHdr->FileHeader;

	PIMAGE_SECTION_HEADER pSection = IMAGE_FIRST_SECTION(NtHdr);

	printf("节表数量: %d \n", FileHdr->NumberOfSections);

	printf("节虚拟地址: %x \n", pSection->Misc.VirtualSize);

	printf("读入FOA基地址: %x \n", pSection->PointerToRawData);

	printf("读入节表长度: %x \n", pSection->SizeOfRawData);

	DWORD dwRead = 0;

	PBYTE pByte = (PBYTE)malloc(pSection->SizeOfRawData);

	SetFilePointer(hFile, pSection->PointerToRawData, 0, FILE_BEGIN);

	memset(pByte, 0, pSection->SizeOfRawData);

	// 逐字节读入

	for (int x = 0; x < pSection->PointerToRawData; x++)

	{

		ReadFile(hFile, &pByte[x], 1, &dwRead, NULL);

	}

	for (int x = 0; x < pSection->SizeOfRawData; x++)

		pByte[x] ^= 0x10;

	SetFilePointer(hFile, pSection->PointerToRawData, 0, FILE_BEGIN);

	WriteFile(hFile, pByte, pSection->SizeOfRawData, 0, FILE_BEGIN);

	pSection++;

	printf("节虚拟地址: %x \n", pSection->Misc.VirtualSize);

	printf("读入FOA基地址: %x \n", pSection->PointerToRawData);

	printf("读入节表长度: %x \n", pSection->SizeOfRawData);

	UnmapViewOfFile(lpBase);

}

循环加密所有的节,可能会出现问题

#include <stdio.h>

#include <Windows.h>

#include <ImageHlp.h>

#pragma comment(lib,"Imagehlp.lib")

void EncrySection(LPSTR szFileName,DWORD Key)

{

	HANDLE hFile = CreateFile(szFileName, GENERIC_READ | GENERIC_WRITE, FILE_SHARE_READ,

		NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL);

	HANDLE hMap = CreateFileMapping(hFile, NULL, PAGE_READWRITE, 0, 0, 0);

	HANDLE lpBase = MapViewOfFile(hMap, FILE_MAP_READ | FILE_SHARE_WRITE, 0, 0, 0);

	PIMAGE_DOS_HEADER DosHdr = (PIMAGE_DOS_HEADER)lpBase;

	PIMAGE_NT_HEADERS NtHdr = (PIMAGE_NT_HEADERS)((DWORD)lpBase + DosHdr->e_lfanew);

	PIMAGE_FILE_HEADER FileHdr = &NtHdr->FileHeader;

	PIMAGE_SECTION_HEADER pSection = IMAGE_FIRST_SECTION(NtHdr);

	printf("[-] 加密节表数量: %d \n", FileHdr->NumberOfSections);

	for (int x = 0; x < FileHdr->NumberOfSections; x++)

	{

		printf("[-] 节虚拟地址: 0x%08X 虚拟大小: 0x%08X\n", pSection->VirtualAddress,pSection->Misc.VirtualSize);

		printf("[-] 读入FOA基地址: 0x%08X 节表长度: 0x%08X \n\n", pSection->PointerToRawData,pSection->SizeOfRawData);

		DWORD dwRead = 0;

		PBYTE pByte = (PBYTE)malloc(pSection->SizeOfRawData);

		SetFilePointer(hFile, pSection->PointerToRawData, 0, FILE_BEGIN);

		memset(pByte, 0, pSection->SizeOfRawData);

		ReadFile(hFile, pByte, pSection->SizeOfRawData, &dwRead, NULL);

		for (int x = 0; x < pSection->SizeOfRawData; x++)

		{

			pByte[x] ^= Key;

		}

		SetFilePointer(hFile, pSection->PointerToRawData, 0, FILE_BEGIN);

		WriteFile(hFile, pByte, pSection->SizeOfRawData, 0, FILE_BEGIN);

		free(pByte);

		pSection = pSection + 1;

	}

	UnmapViewOfFile(lpBase);

}

int main(int argc, char * argv[])

{

	EncrySection("c://win32.exe",0x10);

	system("pause");

	return 0;

}

添加壳代码

#include <stdio.h>

#include <Windows.h>

#include <ImageHlp.h>

#pragma comment(lib,"Imagehlp.lib")

void EncrySection(LPSTR szFileName, DWORD Key)

{

	HANDLE hFile = CreateFile(szFileName, GENERIC_READ | GENERIC_WRITE, FILE_SHARE_READ,

		NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL);

	HANDLE hMap = CreateFileMapping(hFile, NULL, PAGE_READWRITE, 0, 0, 0);

	HANDLE lpBase = MapViewOfFile(hMap, FILE_MAP_READ | FILE_SHARE_WRITE, 0, 0, 0);

	PIMAGE_DOS_HEADER DosHdr = (PIMAGE_DOS_HEADER)lpBase;

	PIMAGE_NT_HEADERS NtHdr = (PIMAGE_NT_HEADERS)((DWORD)lpBase + DosHdr->e_lfanew);

	PIMAGE_FILE_HEADER FileHdr = &NtHdr->FileHeader;

	PIMAGE_SECTION_HEADER pSection = IMAGE_FIRST_SECTION(NtHdr);

	printf("[-] 节虚拟地址: 0x%08X 虚拟大小: 0x%08X\n", pSection->VirtualAddress, pSection->Misc.VirtualSize);

	printf("[-] 读入FOA基地址: 0x%08X 节表长度: 0x%08X \n", pSection->PointerToRawData, pSection->SizeOfRawData);

	printf("[*] 已对 %s 节 --> XOR加密/解密 --> XOR密钥: %d \n\n", pSection->Name, Key);

	DWORD dwRead = 0;

	PBYTE pByte = (PBYTE)malloc(pSection->SizeOfRawData);

	SetFilePointer(hFile, pSection->PointerToRawData, 0, FILE_BEGIN);

	memset(pByte, 0, pSection->SizeOfRawData);

	ReadFile(hFile, pByte, pSection->SizeOfRawData, &dwRead, NULL);

	for (int x = 0; x < pSection->SizeOfRawData; x++)

	{

		pByte[x] ^= Key;

	}

	SetFilePointer(hFile, pSection->PointerToRawData, 0, FILE_BEGIN);

	WriteFile(hFile, pByte, pSection->SizeOfRawData, 0, FILE_BEGIN);

	pSection->Characteristics = 0xE0000020;

	free(pByte);

	FlushViewOfFile(lpBase, 0);

	UnmapViewOfFile(lpBase);

}

void DecodeCode(LPSTR szFileName)

{

	// 第一步修正程序OEP位置,修正为最后一个节的地址

	HANDLE hFile = CreateFile(szFileName, GENERIC_READ | GENERIC_WRITE, FILE_SHARE_READ,

		NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL);

	HANDLE hMap = CreateFileMapping(hFile, NULL, PAGE_READWRITE, 0, 0, 0);

	HANDLE lpBase = MapViewOfFile(hMap, FILE_MAP_READ | FILE_SHARE_WRITE, 0, 0, 0);

	PIMAGE_DOS_HEADER DosHdr = (PIMAGE_DOS_HEADER)lpBase;

	PIMAGE_NT_HEADERS NtHdr = (PIMAGE_NT_HEADERS)((DWORD)lpBase + DosHdr->e_lfanew);

	DWORD ImageBase = NtHdr->OptionalHeader.ImageBase;

	DWORD BaseRVA = NtHdr->OptionalHeader.AddressOfEntryPoint;

	printf("Base RVA %x \n", BaseRVA);

	PIMAGE_FILE_HEADER FileHdr = &NtHdr->FileHeader;

	PIMAGE_SECTION_HEADER pSection = IMAGE_FIRST_SECTION(NtHdr);

	// 首先得到最后一个节的指针,然后找到里面的虚拟偏移值,填入到程序OEP位置即可。

	DWORD SectionNum = FileHdr->NumberOfSections;

	char Code[] =

	{

		"\x60"

		"\xb8\x00\x00\x00\x00"

		"\x80\x30\x88"

		"\x40"

		"\x3d\xff\x4f\x40\x00"

		"\x75\xf5"

		"\x61"

		"\xb8\x00\x00\x00\x00"

		"\xff\xe0"

	};

	DWORD dwWrite = 0;

	printf("%x \n", ImageBase + pSection->VirtualAddress);

	*(DWORD *)&Code[2] = ImageBase + pSection->VirtualAddress;

	*(DWORD *)&Code[11] = ImageBase + pSection->VirtualAddress + pSection->Misc.VirtualSize;

	*(DWORD *)&Code[19] = ImageBase + BaseRVA;

	pSection = pSection + (SectionNum - 1);

	printf("得到最后一个节的实际地址: %x \n", pSection->PointerToRawData);

	SetFilePointer(hFile, pSection->PointerToRawData, 0, FILE_BEGIN);

	WriteFile(hFile, (LPVOID)Code, sizeof(Code), &dwWrite, NULL);

	FlushViewOfFile(lpBase, 0);

	UnmapViewOfFile(lpBase);

}

加壳的首要目标是要创建一个具有可写属性的新节

我们使用PESection对win32.exe加一个.hack节,然后大小为2048

加入后再次使用PETools工具检查,发现已经添加成功了。

下一步就是将.text节进行加密了,这里为了简单我使用的是异或加密,如下是加密前的机器码。

使用我们编写的工具进行加密,传入两个参数,一个是文件,一个则是加密密钥

加密有区段会变成如下样子。

接着使用 addpack 传入一个参数,写入解密代码。

电脑管家可能会拦截,请将其取出来。

我们X64dbg载入看看,程序默认停在了,我们的壳的位置,。

运行后对.text节进行动态解密,然后一个jmp跳转到程序的OEP位置即可,这也就是壳的基本原理。

C/C++ 对代码节的动态加解密的更多相关文章

  1. [改善Java代码]使用forName动态加载类文件

    动态加载(Dynamic Loading)是指在程序运行时加载需要的类库文件,对Java程序来说,一般情况下,一个类文件在启动时或首次初始化时会被加载到内存中,而反射则可以在运行时再决定是否需要加载一 ...

  2. AX 用代码创建FORM动态加控件,重载动态添加的控件的方法。

    eg. 范例:class\RFIDReadWriteForm/Build方法. formRun.controlMethodOverload(true); formRun.controlMethodOv ...

  3. Dex动态加载

    Dex动态加载是为了解决什么问题? 在Android系统中,一个App的所有代码都在一个Dex文件里面. Dex是一个类似Jar的存储了多个Java编译字节码的归档文件. 因为Android系统使用D ...

  4. Android应用安全之外部动态加载DEX文件风险

    1. 外部动态加载DEX文件风险描述 Android 系统提供了一种类加载器DexClassLoader,其可以在运行时动态加载并解释执行包含在JAR或APK文件内的DEX文件.外部动态加载DEX文件 ...

  5. js动态加载的蒙板弹框

    我们访问一些网站时总会遇到这种点击后,背景像被打上一层模板一样,这个是怎么做到的呢? 它是将这个弹框div独立于页面容器wrap,设置position为absolute,将其水平垂直之后都居中,设置弹 ...

  6. goloader - golang动态加载的实现

    github地址:https://github.com/dearplain/goloader 这里有以前的一些思路:http://www.cnblogs.com/dearplain/p/8145985 ...

  7. android中使用jni对字符串加解密实现分析

    android中使用jni对字符串加解密实现分析 近期项目有个需求.就是要对用户的敏感信息进行加密处理,比方用户的账户password,手机号等私密信息.在java中,就对字符串的加解密我们能够使用A ...

  8. JavaScript与C#互通的DES加解密算法

    原文地址:传送门 本文提供了一个能使JavaScript与C#互通的DES加解密算法的实现,在前台页面中用JavaScript版本的DES算法将数据加密之后,传到服务器端,在服务器端可用C#版本的DE ...

  9. .NET Core加解密实战系列之——消息摘要与数字签名算法

    目录 简介 功能依赖 消息摘要算法 MD算法 家族发展史 应用场景 代码实现 MD5 示例代码 SHA算法 应用场景 代码实现 SHA1 SHA256 示例代码 MAC算法 HMAC算法的典型应用 H ...

随机推荐

  1. 一文讲通.NET Core部署到Windows IIS最全解决方案

    回顾之前的ASP.NET的经典托管 在经典ASP.NET应用程序中,所有一切都托管在IIS工作进程中(w3wp.exe),这也被称为IIS应用程序池.ASP.NET程序被托管在应用程序池中,并且被按照 ...

  2. 《C++ Primer》笔记 第4章 表达式

    C++的表达式要不然是右值(right-value or read-value),要不然就是左值(left-value or location-value). 当一个对象被用作右值的时候,用的是对象的 ...

  3. Java 程序员每天都在做什么?

    作为一名 在大.中.小微企业都待过 的 Java 开发者,今天和大家分享下自己在不同公司的工作日常和收获.包括一些个人积累的工作提升经验,以及一些 Java 学习的方法和资源. 先从我的第一份 Jav ...

  4. [实战]ASP.NET Padding Oracle信息泄露漏洞

    前言 这个漏洞是很多年前的了,刚好碰到网站有这个漏洞,利用一下也记录一下.具体原理请搜索学习,反正我不会. 推荐看这里,写得很清楚:http://www.91ri.org/6715.html 工具 p ...

  5. django框架如何解决跨域问题

    跨域问题的由来 由于浏览器具有同源策略的限制. 限制:在发送Ajax请求时,如果当前浏览器的URL是a.com,页面中向b.com发送Ajax请求,请求可以正常访问,但数据回到浏览器时,浏览器会阻止. ...

  6. Azure Front Door(二)对后端 VM 进行负载均衡

    一,引言 上一篇我们讲到通过 Azure Front Door 为我们的 Azure App Service 提供流量转发,而整个 Azure Front Door 在添加后端池的时候可选的后端类型是 ...

  7. ElasticSearch入门篇(保姆级教程)

    本章将介绍:ElasticSearch的作用,搭建elasticsearch的环境(Windows/Linux),ElasticSearch集群的搭建,可视化客户端插件elasticsearch-he ...

  8. Hi3559AV100 NNIE开发(4)mobilefacenet.cfg参数配置挖坑解决与SVP_NNIE_Cnn实现分析

    前面随笔给出了NNIE开发的基本知识,下面几篇随笔将着重于Mobilefacenet NNIE开发,实现mobilefacenet.wk的chip版本,并在Hi3559AV100上实现mobilefa ...

  9. LeetCode 175. Combine Two Tables 【MySQL中连接查询on和where的区别】

    一.题目 175. Combine Two Tables 二.分析 连接查询的时候要考虑where和on的区别 where : 查询时,连接的时候是必须严格满足条件的,满足了才会加入到临时表中. on ...

  10. 程序员必须搞懂的20个Java类库和API

    本文总结了日志.JSON解析.单测.XML解析.字节码处理.数据库连接池.集合类.邮件.加密.嵌入式SQL数据库.JDBC故障诊断以及序列化等20个方面的常用类库.都是你日常开发经常可能要用到的,现在 ...