一个简单的加壳解壳程序

最新推荐文章于 2025-05-13 10:26:57 发布
原创 最新推荐文章于 2025-05-13 10:26:57 发布 · 1.3k 阅读 · 9 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#c++ #windows

1、资源说明

环境:win10 vs2017

Shell.exe 壳子程序

src.exe  要加壳的源程序

2、加壳过程

获取Shell程序的路径

获取src程序的路径

将src程序读取到内存中,加密

在Shell程序中新增一个节,并将加密后的src程序追加到Shell程序的新增节中

保存加壳后的程序

3、加壳代码

#include <stdio.h>
#include <windows.h>

#define SRC_PATH "D:\\crackme.exe"
#define SHELL_PATH "D:\\myke.exe"
//**************************************************************************						
//ReadPEFile:将文件读取到缓冲区						
//参数说明:						
//lpszFile 文件路径						
//pFileBuffer 缓冲区指针						
//返回值说明:						
//读取失败返回0  否则返回实际读取的大小						
//**************************************************************************						
DWORD ReadPEFile(IN LPSTR lpszFile, OUT LPVOID* pFileBuffer)
{
	FILE* pFile = NULL;
	DWORD fileSize = 0;

	errno_t err;
	err = fopen_s(&pFile,lpszFile, "rb");
	//打开文件
	if (pFile == NULL)
	{
		return 0;
	}

	//读取文件大小
	fseek(pFile, 0, SEEK_END);
	fileSize = ftell(pFile);
	fseek(pFile, 0, SEEK_SET);

	//分配缓冲区
	*pFileBuffer = (LPVOID)malloc(fileSize);
	if (!*pFileBuffer)
	{
		fclose(pFile);
		return 0;
	}
	//将文件数据读取到缓冲区
	size_t n = fread(*pFileBuffer, fileSize, 1, pFile);
	if (!n)
	{
		free(*pFileBuffer);
		fclose(pFile);
		return 0;
	}
	//关闭文件
	fclose(pFile);
	return fileSize;

}
VOID JiaMi(LPVOID* pFileBuffer)
{

}
typedef struct _PEHEADER 
{
	//DOS头
	PIMAGE_DOS_HEADER pDosHeader;
	//NT头
	PIMAGE_NT_HEADERS pNTHeader;
	//标准PE头
	PIMAGE_FILE_HEADER pPEHeader;
	//可选PE头
	PIMAGE_OPTIONAL_HEADER32 pOptionHeader;
	//节表
	PIMAGE_SECTION_HEADER pSectionHeader;
} PEHEADER,* PPEHEADER;
VOID GetPEHeader(IN LPVOID pFileBuffer,OUT PPEHEADER peHeader)
{

	if (!pFileBuffer)
	{
		printf("缓冲取指针无效\n");
		return;
	}

	//判断是否是有效的MZ标志	
	if (*((PWORD)pFileBuffer) != IMAGE_DOS_SIGNATURE)
	{
		printf("不是有效的MZ标志\n");
		return;
	}

	peHeader->pDosHeader = (PIMAGE_DOS_HEADER)(pFileBuffer);

	//判断是否是有效的PE标志	
	if (*((PDWORD)((DWORD)pFileBuffer + peHeader->pDosHeader->e_lfanew)) != IMAGE_NT_SIGNATURE)
	{
		printf("不是有效的PE标志\n");
		return;
	}
	peHeader->pNTHeader = (PIMAGE_NT_HEADERS)((DWORD)(pFileBuffer)+peHeader->pDosHeader->e_lfanew);
	peHeader->pPEHeader = (PIMAGE_FILE_HEADER)(((DWORD)peHeader->pNTHeader) + 4);
	peHeader->pOptionHeader = (PIMAGE_OPTIONAL_HEADER32)((DWORD)peHeader->pPEHeader + IMAGE_SIZEOF_FILE_HEADER);
	peHeader->pSectionHeader = (PIMAGE_SECTION_HEADER)((DWORD)peHeader->pOptionHeader + peHeader->pPEHeader->SizeOfOptionalHeader);

}
DWORD GetSizeOfAlignment(IN DWORD size, DWORD alignmet)
{
	DWORD ret = size / alignmet;
	return alignmet * (ret + 1);
}
size_t DoShell(IN LPVOID srcBuffer,size_t srcSize, LPVOID shellBuffer,size_t shellSize, LPVOID* newShellBuffer)
{

	PEHEADER shellPEheader;
	GetPEHeader(shellBuffer, &shellPEheader);
	//获取shell最后一个节表的指针
	PIMAGE_SECTION_HEADER pShellLastSectionHeader = shellPEheader.pSectionHeader + (shellPEheader.pPEHeader->NumberOfSections - 1);
	
	//判断SHELL空间是否够插入一个节表
	if (shellPEheader.pOptionHeader->SizeOfHeaders - (DWORD)pShellLastSectionHeader < (0x28 * 3))
	{
		return;
	}
	size_t totalSize = GetSizeOfAlignment(srcSize,shellPEheader.pOptionHeader->FileAlignment)  + GetSizeOfAlignment(shellSize, shellPEheader.pOptionHeader->FileAlignment);
	*newShellBuffer = malloc(totalSize);
	memset(*newShellBuffer, 0, totalSize);
	memcpy(*newShellBuffer, shellBuffer, shellSize);
	PEHEADER newPEHeader;
	GetPEHeader(*newShellBuffer, &newPEHeader);
	//获取shell最后一个节表的指针
	PIMAGE_SECTION_HEADER pNewShellLastSectionHeader = newPEHeader.pSectionHeader + (newPEHeader.pPEHeader->NumberOfSections - 1);
	// 添加一个新的节(copy一份)
	//新增节表位置指针
	PIMAGE_SECTION_HEADER pNewShellNewSectionHeader = newPEHeader.pSectionHeader + (newPEHeader.pPEHeader->NumberOfSections);
	memcpy(pNewShellNewSectionHeader, pNewShellLastSectionHeader, 0x28);

	//修改新增节表内容
	pNewShellNewSectionHeader->Misc.VirtualSize = srcSize;
	pNewShellNewSectionHeader->SizeOfRawData = GetSizeOfAlignment(srcSize, newPEHeader.pOptionHeader->FileAlignment);
	//pNewShellNewSectionHeader->PointerToRawData += GetSizeOfAlignment(pShellLastSectionHeader->Misc.VirtualSize, newPEHeader.pOptionHeader->FileAlignment);
	pNewShellNewSectionHeader->PointerToRawData = (DWORD)(shellSize);
	pNewShellNewSectionHeader->VirtualAddress = GetSizeOfAlignment(pNewShellLastSectionHeader->VirtualAddress + pNewShellLastSectionHeader->SizeOfRawData, newPEHeader.pOptionHeader->SectionAlignment);

	//修改PE头中节的数量
	newPEHeader.pPEHeader->NumberOfSections += 1;
	//修改sizeOfImage的大小
	newPEHeader.pOptionHeader->SizeOfImage += GetSizeOfAlignment(srcSize, newPEHeader.pOptionHeader->SectionAlignment);
	//原有数据的最后,新增一个节的数据(内存对齐的整数倍).
	//DWORD x = (DWORD)*newShellBuffer + 0x2ff0;
	memcpy((LPVOID)((DWORD)*newShellBuffer + pNewShellNewSectionHeader->PointerToRawData), srcBuffer, srcSize);
	//6)修正新增节表的属性

	return totalSize;
}
BOOL MemeryTOFile(IN LPVOID pMemBuffer, IN size_t size, OUT LPSTR lpszFile)
{
	FILE* pFile = NULL;

	//打开文件
	fopen_s(&pFile,lpszFile, "wb+");
	if (!pFile)
	{
		printf("无法创建exe\n");
		return FALSE;
	}
	fwrite(pMemBuffer, size, 1, pFile);
	fclose(pFile);
	pFile = NULL;
	return TRUE;
}
int main()
{
	//读取shell程序
	LPVOID shellBuffer = NULL;
	size_t shellSize = ReadPEFile(SHELL_PATH, &shellBuffer);
	if (shellBuffer==NULL)
	{
		return 1;
	}
	//读取src程序
	LPVOID srcBuffer = NULL;
	size_t srcSize = ReadPEFile(SRC_PATH, &srcBuffer);
	if (srcBuffer==NULL)
	{
		free(shellBuffer);
		shellBuffer = NULL;
		return 1;
	}
	LPVOID newShellBuffer = NULL;
	size_t size = DoShell(srcBuffer, srcSize, shellBuffer,shellSize,&newShellBuffer);
	if (newShellBuffer==NULL)
	{
		free(shellBuffer);
		shellBuffer = NULL;
		free(srcBuffer);
		srcBuffer = NULL;
		return 1;
	}
	MemeryTOFile(newShellBuffer, size, "D:\\jialeke.exe");
	free(srcBuffer);
	free(shellBuffer);
	free(newShellBuffer);
	system("pause");
	return 0;
}

4、解壳过程

网上找的过程:

获取src的数据,解密

将解密后的PE文件在内存中拉伸,并存储到缓冲区中

以挂起形成创建Shell进程,并得到主线程的Context

 卸载外壳程序的文件镜像(ZwUnmapViewOfSection)

在指定的位置(src的ImageBase)申请指定大小(src的SizeOfImage)的内存(VirtualAllocEx)

如果创建失败,查看src是否包含重定位表,如果包含重定位表,就在任意位置申请(src的SizeOfImage)

如果在指定位置申请内存失败,并且没有重定位表的数据,直接返回失败

 如果内存申请成功,将新的数据复制到内存中

修正运行环境的基址和入口地址

恢复主线程执行

由于Win7及以后的系统程序执行的时候会随机分配ImageBase,用上述过程没法正常执行,修改如下

将解密后的PE文件在内存中拉伸,并存储到缓冲区中

以挂起形成创建Shell进程,并得到主线程的Context

 卸载外壳程序的文件镜像(ZwUnmapViewOfSection)

查看src是否包含重定位表,如果不包含重定位表直接返回失败

在指定的位置(Context的ImageBase)申请指定大小(src的SizeOfImage)的内存(VirtualAllocEx)

如果创建失败,直接返回失败

 如果内存申请成功,将新的数据复制到内存中

修正运行环境的基址和入口地址

恢复主线程执行

5、解壳代码,没有整理代码,只是个测试程序,凑合着看吧

#include <stdio.h>
#include <windows.h>
#include <process.h>
#include <Tlhelp32.h>
PVOID GetProcessImageBase(DWORD dwProcessId,LPVOID* path)
{
	PVOID pProcessImageBase = NULL;
	MODULEENTRY32 me32 = { 0 };
	me32.dwSize = sizeof(MODULEENTRY32);
	// 获取指定进程全部模块的快照
	HANDLE hModuleSnap = CreateToolhelp32Snapshot(TH32CS_SNAPMODULE, dwProcessId);
	if (INVALID_HANDLE_VALUE == hModuleSnap)
	{
		return pProcessImageBase;
	}
	// 获取快照中第一条信息
	BOOL bRet = Module32First(hModuleSnap, &me32);
	if (bRet)
	{
		// 获取加载基址
		pProcessImageBase = (PVOID)me32.modBaseAddr;
		*path = malloc(strlen(me32.szExePath)+1);
		memset(*path, 0, strlen(me32.szExePath)+1);
		memcpy(*path, me32.szExePath, strlen(me32.szExePath));
		
	}
	// 关闭句柄
	CloseHandle(hModuleSnap);
	return pProcessImageBase;
}
//读取最后一个节数据
DWORD ReadLastSection(DWORD dwImageBase,LPVOID* dataBuffer)
{
	PIMAGE_DOS_HEADER pDosHeader = NULL;
	//NT头
	PIMAGE_NT_HEADERS pNTHeader = NULL;
	//标准PE头
	PIMAGE_FILE_HEADER pPEHeader = NULL;
	//可选PE头
	PIMAGE_OPTIONAL_HEADER32 pOptionHeader = NULL;
	//节表
	PIMAGE_SECTION_HEADER pSectionHeader = NULL;
	//判断是否是有效的MZ标志	
	if (*((PWORD)dwImageBase) != IMAGE_DOS_SIGNATURE)
	{
		printf("不是有效的MZ标志\n");
		return 0;
	}
	pDosHeader = (PIMAGE_DOS_HEADER)(dwImageBase);

	//判断是否是有效的PE标志	
	if (*((PDWORD)((DWORD)dwImageBase + pDosHeader->e_lfanew)) != IMAGE_NT_SIGNATURE)
	{
		printf("不是有效的PE标志\n");
		return 0;
	}
	pNTHeader = (PIMAGE_NT_HEADERS)((DWORD)(dwImageBase)+pDosHeader->e_lfanew);
	pPEHeader = (PIMAGE_FILE_HEADER)(((DWORD)pNTHeader) + 4);
	pOptionHeader = (PIMAGE_OPTIONAL_HEADER32)((DWORD)pPEHeader + IMAGE_SIZEOF_FILE_HEADER);
	pSectionHeader = (PIMAGE_SECTION_HEADER)((DWORD)pOptionHeader + pPEHeader->SizeOfOptionalHeader);
	WORD numberOfSections = pPEHeader->NumberOfSections;
	//最后一个节表的指针
	pSectionHeader += (numberOfSections - 1);
	//分配内存拷贝数据
	*dataBuffer = malloc(pSectionHeader->Misc.VirtualSize);
	memset(*dataBuffer, 0, pSectionHeader->Misc.VirtualSize);
	DWORD dstAddr = pSectionHeader->VirtualAddress;
	dstAddr += dwImageBase;
	memcpy(*dataBuffer, (void*)dstAddr, pSectionHeader->Misc.VirtualSize);
	return pSectionHeader->Misc.VirtualSize;
}

//解密
VOID JieMi(LPVOID* dataBuffer)
{

}

// 卸载原外壳占用内存 
BOOL UnloadShell(HANDLE ProcHnd, unsigned long BaseAddr)

{

		typedef unsigned long(__stdcall *pfZwUnmapViewOfSection)(unsigned long, unsigned long);

		pfZwUnmapViewOfSection ZwUnmapViewOfSection = NULL;

		BOOL res = FALSE;

		HMODULE m = LoadLibrary("ntdll.dll");

		if (m) {

				ZwUnmapViewOfSection = (pfZwUnmapViewOfSection)GetProcAddress(m, "ZwUnmapViewOfSection");


				if (ZwUnmapViewOfSection)

					res = (ZwUnmapViewOfSection((unsigned long)ProcHnd, BaseAddr) == 0);

				FreeLibrary(m);

		}

		return res;

}

typedef struct _PEHEADER
{
	//DOS头
	PIMAGE_DOS_HEADER pDosHeader;
	//NT头
	PIMAGE_NT_HEADERS pNTHeader;
	//标准PE头
	PIMAGE_FILE_HEADER pPEHeader;
	//可选PE头
	PIMAGE_OPTIONAL_HEADER32 pOptionHeader;
	//节表
	PIMAGE_SECTION_HEADER pSectionHeader;
} PEHEADER, *PPEHEADER;
VOID GetPEHeader(IN LPVOID pFileBuffer, OUT PPEHEADER peHeader)
{

	if (!pFileBuffer)
	{
		printf("缓冲取指针无效\n");
		return;
	}

	//判断是否是有效的MZ标志	
	if (*((PWORD)pFileBuffer) != IMAGE_DOS_SIGNATURE)
	{
		printf("不是有效的MZ标志\n");
		return;
	}

	peHeader->pDosHeader = (PIMAGE_DOS_HEADER)(pFileBuffer);

	//判断是否是有效的PE标志	
	if (*((PDWORD)((DWORD)pFileBuffer + peHeader->pDosHeader->e_lfanew)) != IMAGE_NT_SIGNATURE)
	{
		printf("不是有效的PE标志\n");
		return;
	}
	peHeader->pNTHeader = (PIMAGE_NT_HEADERS)((DWORD)(pFileBuffer)+peHeader->pDosHeader->e_lfanew);
	peHeader->pPEHeader = (PIMAGE_FILE_HEADER)(((DWORD)peHeader->pNTHeader) + 4);
	peHeader->pOptionHeader = (PIMAGE_OPTIONAL_HEADER32)((DWORD)peHeader->pPEHeader + IMAGE_SIZEOF_FILE_HEADER);
	peHeader->pSectionHeader = (PIMAGE_SECTION_HEADER)((DWORD)peHeader->pOptionHeader + peHeader->pPEHeader->SizeOfOptionalHeader);

}
//**************************************************************************						
//CopyFileBufferToImageBuffer:将文件从FileBuffer复制到ImageBuffer						
//参数说明:						
//pFileBuffer  FileBuffer指针						
//pImageBuffer ImageBuffer指针						
//返回值说明:						
//读取失败返回0  否则返回复制的大小						
//**************************************************************************						
DWORD CopyFileBufferToImageBuffer(IN LPVOID pFileBuffer, OUT LPVOID* pImageBuffer)
{
	//DOS头
	PIMAGE_DOS_HEADER pDosHeader = NULL;
	//NT头
	PIMAGE_NT_HEADERS pNTHeader = NULL;
	//标准PE头
	PIMAGE_FILE_HEADER pPEHeader = NULL;
	//可选PE头
	PIMAGE_OPTIONAL_HEADER32 pOptionHeader = NULL;
	//节表
	PIMAGE_SECTION_HEADER pSectionHeader = NULL;


	if (!pFileBuffer)
	{
		printf("缓冲取指针无效\n");
		return 0;
	}

	//判断是否是有效的MZ标志	
	if (*((PWORD)pFileBuffer) != IMAGE_DOS_SIGNATURE)
	{
		printf("不是有效的MZ标志\n");
		return 0;
	}

	pDosHeader = (PIMAGE_DOS_HEADER)(pFileBuffer);

	//判断是否是有效的PE标志	
	if (*((PDWORD)((DWORD)pFileBuffer + pDosHeader->e_lfanew)) != IMAGE_NT_SIGNATURE)
	{
		printf("不是有效的PE标志\n");
		return 0;
	}
	pNTHeader = (PIMAGE_NT_HEADERS)((DWORD)(pFileBuffer)+pDosHeader->e_lfanew);
	pPEHeader = (PIMAGE_FILE_HEADER)(((DWORD)pNTHeader) + 4);
	pOptionHeader = (PIMAGE_OPTIONAL_HEADER32)((DWORD)pPEHeader + IMAGE_SIZEOF_FILE_HEADER);
	pSectionHeader = (PIMAGE_SECTION_HEADER)((DWORD)pOptionHeader + pPEHeader->SizeOfOptionalHeader);
	WORD numberOfSections = pPEHeader->NumberOfSections;

	printf("ImageBufferSize:%X\n", pOptionHeader->SizeOfImage);
	//分配ImageBuffer内存
	*pImageBuffer = (LPVOID)malloc(pOptionHeader->SizeOfImage);
	memset(*pImageBuffer, 0, pOptionHeader->SizeOfImage);
	if (!*pImageBuffer)
	{
		printf("分配ImageBuffer内存空间失败!\n");
		return 0;
	}
	//复制Headers
	memcpy(*pImageBuffer, pFileBuffer, pOptionHeader->SizeOfHeaders);

	//复制节表
	PIMAGE_SECTION_HEADER pTempSectionHeader = pSectionHeader;

	for (WORD i = 0; i < numberOfSections; i++)
	{
		LPVOID pSectionSrc = (LPVOID)((DWORD)(pFileBuffer)+pTempSectionHeader->PointerToRawData);
		LPVOID pSectionDst = (LPVOID)((DWORD)(*pImageBuffer) + pTempSectionHeader->VirtualAddress);
		memcpy(pSectionDst, pSectionSrc, pTempSectionHeader->SizeOfRawData);
		pTempSectionHeader++;

	}
	return pOptionHeader->SizeOfImage;
}
BOOL MemeryTOFile(IN LPVOID pMemBuffer, IN size_t size, OUT LPSTR lpszFile)
{
	FILE* pFile = NULL;

	//打开文件
	fopen_s(&pFile, lpszFile, "wb+");
	if (!pFile)
	{
		printf("无法创建exe\n");
		return FALSE;
	}
	fwrite(pMemBuffer, size, 1, pFile);
	fclose(pFile);
	pFile = NULL;
	return TRUE;
}
//**************************************************************************						
//ReadPEFile:将文件读取到缓冲区						
//参数说明:						
//lpszFile 文件路径						
//pFileBuffer 缓冲区指针						
//返回值说明:						
//读取失败返回0  否则返回实际读取的大小						
//**************************************************************************						
DWORD ReadPEFile(IN LPSTR lpszFile, OUT LPVOID* pFileBuffer)
{
	FILE* pFile = NULL;
	DWORD fileSize = 0;

	errno_t err;
	err = fopen_s(&pFile, lpszFile, "rb");
	//打开文件
	if (pFile == NULL)
	{
		return 0;
	}

	//读取文件大小
	fseek(pFile, 0, SEEK_END);
	fileSize = ftell(pFile);
	fseek(pFile, 0, SEEK_SET);

	//分配缓冲区
	*pFileBuffer = (LPVOID)malloc(fileSize);
	if (!*pFileBuffer)
	{
		fclose(pFile);
		return 0;
	}
	//将文件数据读取到缓冲区
	size_t n = fread(*pFileBuffer, fileSize, 1, pFile);
	if (!n)
	{
		free(*pFileBuffer);
		fclose(pFile);
		return 0;
	}
	//关闭文件
	fclose(pFile);
	return fileSize;

}
DWORD RvaToFileOffset(IN LPVOID pFileBuffer, IN DWORD dwRva)
{
	//DOS头
	PIMAGE_DOS_HEADER pDosHeader = NULL;
	//NT头
	PIMAGE_NT_HEADERS pNTHeader = NULL;
	//标准PE头
	PIMAGE_FILE_HEADER pPEHeader = NULL;
	//可选PE头
	PIMAGE_OPTIONAL_HEADER32 pOptionHeader = NULL;
	//节表
	PIMAGE_SECTION_HEADER pSectionHeader = NULL;


	if (!pFileBuffer)
	{
		printf("缓冲取指针无效\n");
		return 0;
	}

	//判断是否是有效的MZ标志	
	if (*((PWORD)pFileBuffer) != IMAGE_DOS_SIGNATURE)
	{
		printf("不是有效的MZ标志\n");
		return 0;
	}

	pDosHeader = (PIMAGE_DOS_HEADER)(pFileBuffer);

	//判断是否是有效的PE标志	
	if (*((PDWORD)((DWORD)pFileBuffer + pDosHeader->e_lfanew)) != IMAGE_NT_SIGNATURE)
	{
		printf("不是有效的PE标志\n");
		return 0;
	}
	pNTHeader = (PIMAGE_NT_HEADERS)((DWORD)(pFileBuffer)+pDosHeader->e_lfanew);
	pPEHeader = (PIMAGE_FILE_HEADER)(((DWORD)pNTHeader) + 4);
	pOptionHeader = (PIMAGE_OPTIONAL_HEADER32)((DWORD)pPEHeader + IMAGE_SIZEOF_FILE_HEADER);
	pSectionHeader = (PIMAGE_SECTION_HEADER)((DWORD)pOptionHeader + pPEHeader->SizeOfOptionalHeader);
	WORD numberOfSections = pPEHeader->NumberOfSections;
	DWORD dwFOA = 0;
	for (WORD i = 0; i < numberOfSections; i++, pSectionHeader++)
	{
		if (dwRva >= pSectionHeader->VirtualAddress && dwRva < pSectionHeader->VirtualAddress + pSectionHeader->Misc.VirtualSize)
		{
			dwFOA = pSectionHeader->PointerToRawData + dwRva - pSectionHeader->VirtualAddress;
		}
	}
	return dwFOA;
}
BOOL HasRELOCATION(LPVOID pFileBuffer)
{
	//DOS头
	PIMAGE_DOS_HEADER pDosHeader = NULL;
	//NT头
	PIMAGE_NT_HEADERS pNTHeader = NULL;
	//标准PE头
	PIMAGE_FILE_HEADER pPEHeader = NULL;
	//可选PE头
	PIMAGE_OPTIONAL_HEADER32 pOptionHeader = NULL;
	//节表
	PIMAGE_SECTION_HEADER pSectionHeader = NULL;


	if (!pFileBuffer)
	{
		printf("缓冲取指针无效\n");
		return 0;
	}

	//判断是否是有效的MZ标志	
	if (*((PWORD)pFileBuffer) != IMAGE_DOS_SIGNATURE)
	{
		printf("不是有效的MZ标志\n");
		return 0;
	}

	pDosHeader = (PIMAGE_DOS_HEADER)(pFileBuffer);

	//判断是否是有效的PE标志	
	if (*((PDWORD)((DWORD)pFileBuffer + pDosHeader->e_lfanew)) != IMAGE_NT_SIGNATURE)
	{
		printf("不是有效的PE标志\n");
		return 0;
	}
	pNTHeader = (PIMAGE_NT_HEADERS)((DWORD)(pFileBuffer)+pDosHeader->e_lfanew);
	pPEHeader = (PIMAGE_FILE_HEADER)(((DWORD)pNTHeader) + 4);
	pOptionHeader = (PIMAGE_OPTIONAL_HEADER32)((DWORD)pPEHeader + IMAGE_SIZEOF_FILE_HEADER);
	pSectionHeader = (PIMAGE_SECTION_HEADER)((DWORD)pOptionHeader + pPEHeader->SizeOfOptionalHeader);

	PIMAGE_DATA_DIRECTORY pIMAGE_DATA_DIRECTORY = (PIMAGE_DATA_DIRECTORY)&(pOptionHeader->DataDirectory[5]);
	if (pIMAGE_DATA_DIRECTORY->VirtualAddress==0 && pIMAGE_DATA_DIRECTORY->Size == 0)
	{
		return FALSE;
	}
	

	DWORD foa = RvaToFileOffset(pFileBuffer, pIMAGE_DATA_DIRECTORY->VirtualAddress);

	PIMAGE_BASE_RELOCATION pIMAGE_BASE_RELOCATION = (PIMAGE_BASE_RELOCATION)(foa + (DWORD)pFileBuffer);
	if (pIMAGE_BASE_RELOCATION->VirtualAddress && pIMAGE_BASE_RELOCATION->SizeOfBlock)
	{
		return TRUE;
	}
	return FALSE;
}

//修改ImageBase和重定位表
BOOL ModifyImageBaseAndRelocation(LPVOID* pFileBuffer, DWORD delta)
{
	//DOS头
	PIMAGE_DOS_HEADER pDosHeader = NULL;
	//NT头
	PIMAGE_NT_HEADERS pNTHeader = NULL;
	//标准PE头
	PIMAGE_FILE_HEADER pPEHeader = NULL;
	//可选PE头
	PIMAGE_OPTIONAL_HEADER32 pOptionHeader = NULL;
	//节表
	PIMAGE_SECTION_HEADER pSectionHeader = NULL;


	if (!(*pFileBuffer))
	{
		printf("缓冲取指针无效\n");
		return FALSE;
	}

	//判断是否是有效的MZ标志	
	if (*((PWORD)*pFileBuffer) != IMAGE_DOS_SIGNATURE)
	{
		printf("不是有效的MZ标志\n");
		return FALSE;
	}

	pDosHeader = (PIMAGE_DOS_HEADER)(*pFileBuffer);

	//判断是否是有效的PE标志	
	if (*((PDWORD)((DWORD)*pFileBuffer + pDosHeader->e_lfanew)) != IMAGE_NT_SIGNATURE)
	{
		printf("不是有效的PE标志\n");
		return FALSE;
	}
	pNTHeader = (PIMAGE_NT_HEADERS)((DWORD)(*pFileBuffer) + pDosHeader->e_lfanew);
	pPEHeader = (PIMAGE_FILE_HEADER)(((DWORD)pNTHeader) + 4);
	pOptionHeader = (PIMAGE_OPTIONAL_HEADER32)((DWORD)pPEHeader + IMAGE_SIZEOF_FILE_HEADER);
	pSectionHeader = (PIMAGE_SECTION_HEADER)((DWORD)pOptionHeader + pPEHeader->SizeOfOptionalHeader);
	//修改ImageBase
	pOptionHeader->ImageBase += delta;
	//修改重定位表
	PIMAGE_DATA_DIRECTORY pIMAGE_DATA_DIRECTORY = (PIMAGE_DATA_DIRECTORY)&(pOptionHeader->DataDirectory[5]);

	DWORD foa = RvaToFileOffset(*pFileBuffer, pIMAGE_DATA_DIRECTORY->VirtualAddress);

	PIMAGE_BASE_RELOCATION pIMAGE_BASE_RELOCATION = (PIMAGE_BASE_RELOCATION)(foa + (DWORD)*pFileBuffer);
	PIMAGE_BASE_RELOCATION pCurrent = pIMAGE_BASE_RELOCATION;

	DWORD page = 0;
	for (page; pCurrent->VirtualAddress && pCurrent->SizeOfBlock; page++)
	{

		DWORD Items = (pCurrent->SizeOfBlock - 8) / 2;

		WORD* pItem = (WORD*)((DWORD)pCurrent + 8);
		for (DWORD j = 0; j < Items; j++)
		{
			WORD Item = *(pItem + j);
			WORD ItemType = Item >> 12;
			Item = Item & 0x0FFF;
			if (ItemType == 3)
			{
				//计算要修改的RVA
				DWORD dwRVA = pCurrent->VirtualAddress + Item;
				//计算要修改的FOA
				DWORD dwFOA = RvaToFileOffset(*pFileBuffer, dwRVA);
				//修改原来的值为 原值+delta
				*(DWORD*)(dwFOA + (DWORD)*pFileBuffer) = *(DWORD*)(dwFOA + (DWORD)*pFileBuffer) + delta;
			}

		}
		pCurrent = (PIMAGE_BASE_RELOCATION)((BYTE*)pCurrent + pCurrent->SizeOfBlock);
	}



	return TRUE;
}

int main()
{

	LPVOID path = NULL;
	DWORD dwCImageBase = GetProcessImageBase(_getpid(),&path);

	//LPVOID fileBuffer = NULL;
	//DWORD fsize = ReadPEFile(path, &fileBuffer);
	//1、读取主模块数据
	LPVOID dataBuffer = NULL; 

	DWORD msize = ReadLastSection(dwCImageBase, &dataBuffer);
	if (dataBuffer == NULL)
	{
		return 1;
	}
	//2、解密得到原来的PE文件
	JieMi(&dataBuffer);


	//测试OK
	//MemeryTOFile(dataBuffer, msize, "D:\\testc.exe");

	PEHEADER peH;
	GetPEHeader(dataBuffer, &peH);
	DWORD dwSizeOfImage = peH.pOptionHeader->SizeOfImage;
	DWORD dwImageBase = peH.pOptionHeader->ImageBase;
	DWORD dwOEP = peH.pOptionHeader->AddressOfEntryPoint;
	BOOL hasRLOC = HasRELOCATION(dataBuffer);
	//free(dataBuffer);
	//3、以挂起的方式创建进程
	STARTUPINFO ie_si = { 0 };
	PROCESS_INFORMATION ie_pi;
	ie_si.cb = sizeof(ie_si);

	//以挂起的方式创建进程							
	char szBuffer1[256] = { 0 };//"D:\\jialeke.exe";
	wsprintf(szBuffer1, "%s", path);
	 CreateProcess(
		 szBuffer1,                    // name of executable module						
		 NULL,                // command line string						
		NULL, 					 // SD	
		NULL,  		             // SD				
		FALSE,                   // handle inheritance option						
		CREATE_SUSPENDED,     	 // creation flags  					
		NULL,                    // new environment block						
		NULL,                    // current directory name						
		&ie_si,                  // startup information						
		&ie_pi                   // process information						
	);

	//4、获取进程CONTEXT
	CONTEXT contx;
	contx.ContextFlags = CONTEXT_FULL;

	GetThreadContext(ie_pi.hThread, &contx);

	//获取入口点							
	DWORD dwEntryPoint = contx.Eax;
	printf("old entrypoint:%X\n", dwEntryPoint);
	//获取ImageBase							
	char* baseAddress = (CHAR *)contx.Ebx + 8;
	TCHAR szBuffer[4];
	memset(szBuffer, 0, 4);
	ReadProcessMemory(ie_pi.hProcess, baseAddress, szBuffer, 4, NULL);
	int* fileImageBase;
	fileImageBase = (int*)szBuffer;
	DWORD shellImageBase = *fileImageBase;

	//5、卸载外壳程序
	BOOL isUnload = UnloadShell(ie_pi.hProcess, shellImageBase);

	if (!hasRLOC)
	{
	    free(path);
	    path = NULL;
	    dataBuffer = NULL;
	    TerminateProcess(ie_pi.hProcess, 1234);
	    return 1;
	}

	LPVOID res = VirtualAllocEx(ie_pi.hProcess, (LPVOID)shellImageBase, dwSizeOfImage, MEM_RESERVE | MEM_COMMIT, PAGE_EXECUTE_READWRITE);

	if (!res)
	{
		free(path);
		free(dataBuffer);
		path = NULL;
		dataBuffer = NULL;
		TerminateProcess(ie_pi.hProcess, 1234);
		return 1;
	}
	//修复重定位表
	DWORD deta = (DWORD)res - dwImageBase;
	ModifyImageBaseAndRelocation(&dataBuffer, deta);
	LPVOID pImageBuffer = NULL;
	//拉伸
	CopyFileBufferToImageBuffer(dataBuffer, &pImageBuffer);
	if (pImageBuffer==NULL)
	{
		free(dataBuffer);
		dataBuffer = NULL;
		TerminateProcess(ie_pi.hProcess, 1234);
		return 1;
	}


	WriteProcessMemory(ie_pi.hProcess, res, pImageBuffer, dwSizeOfImage, NULL);

	contx.Eax = dwOEP + (DWORD)res;
	SetThreadContext(ie_pi.hThread, &contx);// 更新运行环境

	ResumeThread(ie_pi.hThread);
	CloseHandle(ie_pi.hThread);

	free(dataBuffer);
	free(path);
	free(pImageBuffer);
	return 0;
}

 

黑客逆向破基础-1:加壳和脱分别是什么?加壳压原理介绍。
JankinChan的博客
04-27 1万+
一、的概念 的概念,在一些计算机软件里有一段专门负责保护软件不被非法修改或反编译的程序。它们一般都是先于程序运行,拿到控制权,然后完成它们保护软件的任务。就像动植物的一般都是在身体外面一样理所当然(但后来也出现了所谓的“中带籽”的)。由于这段程序和自然界的在功能上有很多相同的地方,基于命名的规则,大家就把这样的程序称为“”了。就像计算机病毒和自然界的病毒一样,其实都是命名上的方法罢了...
Android app加壳原理分析及程序编写
vs2008ASPNET的专栏
01-17 2997
Android应用程序加壳是一种保护机制,通过在原始APK文件的外部添加额外的层(),使得攻击者更难分析、修改或破应用程序。下面是一个整体加载dex文件的程序,它会密并加载密后的dex文件,程序的实现在native层,增加了静态分析的难度。核心点在于程序会先于被保护的代码运行,它负责检查运行环境是否安全、密并执行我们的代码。newDexClassLoader 创建新的类加载器,加载已密的dex文件。程序启动入口,它负责密并加载原代码dex文件,并替换当前的类加载器。
blacet的学习点滴
03-09 529
【推荐】常见的特点的总结 1、通常情况下只能向下跳不要往回跳(因为压的时候会有很多的循环,在里面一直转的话头会晕的!) 2、出点一般在POPAD 3、F8能过的CALL就过,F8会运行的CALL就F7跟进 4、PECOMPACT特点:第一个 CALL PECOMPACT.******** 要F7跟入,未实现的向下跳转要实现
程序加壳
12-23
UPX加壳工具,有需要的来下载吧
程序加壳原理
最新发布
神棍之路
05-13 1035
程序加壳技术通过在原始可执行程序外层附加“代码”,对程序的代码和资源进行压缩或加密,并在运行时优先执行代码以完成密或压操作,最终将控制权交还给原始程序。其核心目标包括保护代码逻辑、防止逆向工程分析和压缩文件体积。加壳的实现步骤包括预处理与加密、代码注入和运行时行为。加壳技术可分为压缩、加密和混合,每种类型都有其特定的应用场景和优缺点。尽管加壳技术在软件版权保护和恶意软件隐匿等方面有广泛应用,但其效果受限于的复杂性和对抗技术的发展,形成攻防博弈的常态。
程序进行简单加壳
AShin9的博客
12-20 3960
目录 一、手工加壳介绍 二、具体实现 1.首先用LordPE打开这个程序的区段表,添加一个新的区段。 2.给新添加的区段设置好虚拟大小和物理大小 3.再用010Editir打开这个程序,在新添加的区段增加200H字节。 4.再在LordPE上修改OEP为我们新添加的那个区段 ​ 5.将代码段的属性添加可写 6.在010Editor中将代码段的数据进行异或加密 7.再把随机基址关掉 8.保存好后打开OD,添加新OEP的代码 9.对修改后的汇编代码右键后保存为新的程序 一、手工加壳
程序加壳工具
03-06
可给编译好后的程序加壳 像易语言编译了很容易被杀毒软件查杀 有了这个就不会了
软件、程序加壳 加壳软件!
07-07
软件、程序加壳: 可以保护自己的程序!避免别人盗用!
UPX加工具,UPX加壳,UPX节
08-13
4. 保存:生成一个加壳的可执行文件。 压缩包子文件的文件名称列表中提及的"UPX加壳"可能是工具本身或者相关的示例文件,用于演示如何使用UPX工具进行加壳操作。使用这些工具时,应确保遵循版权和使用条款,尤其...
初级程序员必备:简易加壳程序的保护指南
总结以上信息,我们可以得知“小加壳程序”是一个为初级程序员设计的简易软件加壳工具,旨在通过添加保护层来提高软件的安全性。尽管这是一个非常实用的工具,但它仅是软件安全领域的基础组成部分,开发者在使用...
给编译后的程序添加外
08-04
提供了一种将已编译的可执行文件添加到新程序进行运行
加壳程序代码
03-03
一个加壳代码框架
易语言文件加壳源码-易语言
06-13
易语言文件加壳源码
一款加壳 工具 源代码
07-31
我自己硬盘上的,拿出来分享, 写加壳软件要先参考别人的的代码啊
文件
08-14
文件
加壳基本原理
m0_74208186的博客
11-17 333
加壳一般是指保护程序资源的方法. 脱一般是指除掉程序的保护,用来修改程序资源. 病毒加壳技术与脱杀毒方法 : 是什么?脱又是什么?这是很多经常感到迷惑和经常提出的问题,其实这个问题一点也不幼稚。当你想听说脱这个名词并试着去了的时候,说明你已经在各个安全站点很有了一段日子了。下面,我们进入“”的世 界吧。 一、金蝉脱的故事 我先想讲个故事吧。那就是金蝉脱。金蝉脱属于三十六计中的混战计。金蝉脱的本意是:寒蝉在蜕变时,本体脱离皮而走,只留下蝉蜕还挂在枝头。此计用于军事,是指通过伪装摆脱敌人
winfrom程序加壳
weixin_42953003的博客
08-04 1579
加壳工具点击跳转下载 脱工具点击跳转下载 脱工具使用简介
纵横间谁能相抗 论常见的加壳技术
04-02 358
 在这外程序风起云涌的几年间,出现了无数优秀的外,CoDe_inJect 曾谈过对几种流行的看法,我斗胆结合他的言论描述一下现在常见的保护外:  ASProtect  无可争议的外界老大,它开创了的新时代,SEH 与各种流行反跟踪技术、多态变形引擎的使用(准确来说是从病毒中借用)、BPM 断点清除等都出自于此;更为有名的当属 RSA 算法的使用,使得 DEMO 版无法被破成完
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值