Windows PE 文件加壳学习笔记(续1)

最新推荐文章于 2025-08-06 11:50:14 发布
原创 最新推荐文章于 2025-08-06 11:50:14 发布 · 987 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#windows #output #汇编 #byte #image #exe

本文详细介绍了加壳程序的汇编代码实现过程,包括初始化、解码、IAT拷贝及重定位等关键步骤,并说明了所采用的类似PCX的游程码压缩算法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

 上回我给出了加壳程序的核心的代码,这回我给出 相关的汇编代码。  使用汇编我很无奈,我还不能能用纯C/C++来实现这些嵌入的代码。 代码注释得很清楚,是加壳这个壳的原始代码。  其中的加压缩的部分其实就是脱壳的部分。 其中注释中注明需重定位的,则需要在组装EXE文件的时候修改的。  也就是地址的重定位。。。
  1. cpu P3
  2. bits 32
  3. global _start
  5. section .text
  6. ;---------------------------------------------------------------
  7. ;初始化
  8. _start:
  9.         push ebp
  10.         mov ebp,esp
  11.         sub esp,0x20
  12.         pushad
  13.         
  14.         mov esi,0xFFFFFFFF  ;需重定位 解压源地址
  15.         mov [ebp-0x04*0x00],esi
  16.         mov edi,0xFFFFFFFF  ;需重定位   解压目的地址
  17.         mov [ebp-0x04*0x01],edi
  18.         mov ecx,0xFFFFFFFF  ;需重定位   压缩数据长度
  19.         mov [ebp-0x04*0x02],ecx 
  20.         mov eax,0xFFFFFFFF  ;需重定位   源代码入口
  21.         mov [ebp-0x04*0x03],eax 
  22.         
  23.         mov eax,0xFFFFFFFF  ;需重定位   IAT源地址
  24.         mov [ebp-0x04*0x04],eax     
  25.         mov eax,0xFFFFFFFF  ;需重定位   IAT目的地址
  26.         mov [ebp-0x04*0x05],eax     
  27.         mov eax,0xFFFFFFFF  ;需重定位   IAT长度
  28.         mov [ebp-0x04*0x06],eax             
  30.         
  31. ;---------------------------------------------------------------
  32. ;解码,恢复原映像数据
  34. ;   @decode_next_byte:
  35. ;       mov al,[esi]
  36. ;       not al
  37. ;       mov [edi],al
  38. ;       inc esi
  39. ;       inc edi
  40. ;       loop @decode_next_byte
  42. ;pcx 的RLE解码
  44.     @rle_decode_next_byte:
  45.         mov al,[esi]
  46.         cmp al,0xc0
  47.         je @rle_decode_exit ;0xC0结束符
  48.         jc @output_1
  49.         jnc @output_x
  51.         
  52.     @output_1:
  53.         mov al,[esi]
  54.         mov [edi],al
  55.         inc edi
  56.         inc esi
  57.         jmp @rle_decode_next_byte
  58.         
  59.     @output_x:
  60.         mov al,[esi]
  61.         sub al,0xC0
  62.         xor ecx,ecx
  63.         mov cl,al
  64.         inc esi
  65.         
  66.         mov al,[esi]
  67.     @next_repeat_byte:
  68.         mov al,[esi]
  69.         mov [edi],al
  70.         inc edi 
  71.         loop @next_repeat_byte
  72.         inc esi
  73.         jmp @rle_decode_next_byte
  74.         
  75.     @rle_decode_exit:
  77.         
  78. ;---------------------------------------------------------------
  79. ;拷贝IAT
  80.         mov ecx,[ebp-0x04*0x06]
  81.         mov esi,[ebp-0x04*0x04]
  82.         mov edi,[ebp-0x04*0x05]     
  83.         dec ecx
  84.     @copy_iat_next_byte:
  85.         mov al,[esi]
  86.         mov [edi],al
  87.         inc esi
  88.         inc edi     
  89.         loop @copy_iat_next_byte
  91. ;---------------------------------------------------------------
  92. ;准备进入原镜像代码
  95.         popad
  96.         mov eax,[ebp-0x04*0x03]     
  97.         mov esp,ebp
  98.         pop ebp     
  99.         jmp eax
  102. ;---------------------------------------------------------------

以上就是了那个啥,汇编代码了。。。 使用nasm编译通过
我是使用命令 nasm -f bin loader.asm -l loader.lst -o loader.dat。 对了,上述的汇编代码保存成 loader.asm文件哦

关于如何重定位,相关的C++代码是这样的
  1.     //重定位壳代码的地址
  2.     *((DWORD*)(tmpSectionBuf_text.begin()+nPackerCodeEntryOffset+PackerCodeRelocateOffset[0])) = pPEHeaders->OptionalHeader.ImageBase+pPEHeaders->OptionalHeader.SizeOfImage;
  3.     *((DWORD*)(tmpSectionBuf_text.begin()+nPackerCodeEntryOffset+PackerCodeRelocateOffset[1])) = pPEHeaders->OptionalHeader.ImageBase+pPEHeaders->OptionalHeader.SizeOfHeaders;
  4.     *((DWORD*)(tmpSectionBuf_text.begin()+nPackerCodeEntryOffset+PackerCodeRelocateOffset[2])) = nPackerCodeEntryOffset;
  5.     *((DWORD*)(tmpSectionBuf_text.begin()+nPackerCodeEntryOffset+PackerCodeRelocateOffset[3])) = pPEHeaders->OptionalHeader.ImageBase+pPEHeaders->OptionalHeader.AddressOfEntryPoint;
  6.     *((DWORD*)(tmpSectionBuf_text.begin()+nPackerCodeEntryOffset+PackerCodeRelocateOffset[4])) = pPEHeaders->OptionalHeader.ImageBase+pPEHeaders->OptionalHeader.SizeOfImage+nPackerIATOffset;
  7.     *((DWORD*)(tmpSectionBuf_text.begin()+nPackerCodeEntryOffset+PackerCodeRelocateOffset[5])) = pPEHeaders->OptionalHeader.ImageBase+pPEHeaders->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IAT].VirtualAddress;
  8.     *((DWORD*)(tmpSectionBuf_text.begin()+nPackerCodeEntryOffset+PackerCodeRelocateOffset[6])) = pPEHeaders->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IAT].Size;
  9.     
具体的看上回发的代码~~  结合上下文就能看明白了

另外我提一下,就是我采用的压缩解压算法是类似于 PCX 的游程码压缩,压缩比不是很高。。。 我就顺便提一下,嘿嘿。

由于时间问题,我没时间研究PE的资源等结构。。。所以现在这个加壳器不支持带资源的EXE文件,目前测试过的就是使用VC++编译的控制台程序运行正常~
找个机会我把我的工程代码发到 csdn 资源


silvasaga
关注
[网络安全自学篇] 七十九.Windows PE病毒原理、分类及感染方式详解
杨秀璋的专栏
05-20 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了XSS跨站脚本攻击案例,主要内容包括XSS原理、不同类型的XSS、XSS靶场9道题目、如何防御XSS。这篇文章将介绍Windows PE病毒, 包括PE病毒原理、分类及感染方式详解,并通过案例进行介绍。基础性文章,希望对您有所帮助~
[系统安全] 十七.Windows PE病毒概念、分类及感染方式详解
杨秀璋的专栏
02-01 1万+
作者前文介绍了PE文件格式,熟悉各种PE编辑查看工具,针对目标EXE程序新增对话框等;这篇文章将介绍Windows PE病毒, 包括PE病毒原理、分类及感染方式详解,并通过案例进行介绍。这些基础性知识不仅和系统安全相关,同样与我们身边的APP、常用软件及操作系统紧密联系,希望这些知识对您有所帮助,更希望大家提高安全意识,安全保障任重道远。本文参考了《软件安全》视频、安全网站和参考文献中的文章,并结合自己的经验和实践进行撰写,也推荐大家阅读参考文献。
PE文件加壳软件源代码
05-08
本软件能对PE文件exe加壳,保护程序,这个是源代码程序,学习加壳的,可以看看
(未完待Windows PE 文件加壳学习笔记
silvasaga的专栏
11-05 2058
要想给PE文件加壳,搞清楚PE文件的格式是前提。以可执行程序EXE文件为例, 由描述程序信息的文件头和记录代码数据的节组成。文件头包括DOS文件头, PE文件头, PE可选信息头组成下面给出个结构的C定义(在windos开发包 winnt.h 文件中可以找到)typedef struct _PE_IMAGE_DOS_HEADER {   // DOS .EXE header    WORD   e
加壳学习系列(一)-PE基础
qq_44370676的博客
06-11 1316
PE基础示例源代码010Editor查看NT可选头节表.text节PE中的重要信息PE结构节区PE文件的执行内存映射 示例 源代码 学习PE结构有示例总是好过纯看理论,示例用的C代码如下: #include<Windows.h> int WINAPI WinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPSTR lpCmdLine, int nCmdShow){ int i; i = MessageBoxA(NULL, "do yo
Windows可执行文件PE文件)壳的设计过程
个人博客
10-04 4020
PE文件壳的设计过程 标题:pe文件壳的设计过程 作者:baccon(PEDIY论坛),或chenxiang(软件发布者) 时间:2013年10月26日星期六
PE文件的简单加壳和脱壳(UPX和PEiD)
qq_29566629的博客
02-12 4680
先普及几个概念: PE文件:portable executable(可移植的可执行文件),主要在Windows系统中,包括exe/dll/sys文件加壳:是利用特殊的算法,对EXE、DLL文件里的资源进行压缩、加密。类似WINZIP 的效果,只不过这个压缩之后的文件,可以独立运行,解压过程完全隐蔽,都在内存中完成。它们附加在原程序上通过Windows加载器载入内存后,先于原始 程序执行,得到控制权,执行过程中对原始程序进行解密、还原,还原完成后再把控制权交还给原始程序,执行原来的代码部分。加上外壳后,
[网络安全自学篇] 六十一.PE文件逆向之数字签名详细解析及Signcode、PEView、010Editor、Asn1View等工具用法(二)
热门推荐
杨秀璋的专栏
03-24 1万+
本系列虽然叫“网络安全自学篇”,但由于系统安全、软件安全与网络安全息息相关,作者同样会分享一些系统安全案例及基础工具用法,也是记录自己的成长史,希望大家喜欢,一起进步。前文分享了数字签名的原理知识和Signtool签名工具,这篇文章将详细解析数字签名,采用Signtool工具对EXE文件进行签名,采用Asn1View、PEVie、010Editor等工具进行数据提取和分析,这是全网非常新的一篇文章,希望对您有所帮助~
[系统安全] windows下C++编写第一个加壳程序
H4ppyD0g的博客
12-30 4119
本文为笔者从零基础学习系统安全相关内容的笔记,如果您对系统安全、逆向分析等内容感兴趣或者想要了解一些内容,欢迎关注。本系列文章将会随着笔者在未来三年的读研过程中持更新,由于笔者现阶段还处于初学阶段,不可避免参照复现各类书籍内容,如书籍作者认为侵权请告知,笔者将立刻删除。强调本系列所有内容仅作为学习研究使用,作者对此文章中的代码造成的任何后果不负法律责任。 前文链接 [系统安全] PE文件格式详解1 [系统安全] PE文件格式详解2 [系统安全] Windbg Preview调试记录
[系统安全] 二十一.PE数字签名之()Signcode、PEView、010Editor、Asn1View工具用法
杨秀璋的专栏
02-09 7595
作者前文介绍了什么是数字签名,并采用Signtool工具对EXE文件进行签名,后深入分析数字签名的格式及PE病毒内容。这篇文章将详细解析数字签名,采用Signtool工具对EXE文件进行签名,接着利用Asn1View、PEVie、010Editor等工具进行数据提取和分析,这是全网非常新的一篇文章,希望对您有所帮助。 这些基础性知识不仅和系统安全相关,同样与我们身边常用的软件、文档、操作系统紧密联系,希望这些知识对您有所帮助,更希望大家提高安全意识,安全保障任重道远。本文参考了参考文献中的文章,并结合自己
PE文件操作-简单的加壳实现
yeshahayes的博客
08-14 3862
处于一些原因,需要对PE文件进行加壳。所谓加壳就是有某种编码算法对原始文件数据进行编码,并使原始文件内容成为数据部分,而嵌进文件的解密代码成为主体。在loader加载加壳文件后,会将控制权交给解码程序,解码程序在完成解码后,再把控制权交给原始代码。 这个加壳程序是学习之用,所以只实现了最简单的可逆变换-异或运算。对文件操作用了内存映射文件,所以直接操作内存即可。 先说一下思路:对原始PE文件编码
如何用程序判定一个PE文件是否加壳
p312011150的博客
06-27 6818
如何用程序判定一个PE文件是否加壳 Lenus2010-6-22 10:41 29100 由于工作原因,时间比较少上论坛来泡泡了。最近由于某些原因时间变得稍微宽裕了些,有空整理整理这几年的一些资料和文档。 感觉这个方向论坛上讨论得并不多,是这个方向没有什么使用价值呢,还是说太简单了大家都不愿意研究?总而言之,我个人感觉这个方向还是一个挺有趣的,所以发上来共享一下。 这篇
PE结构详解(加壳脱壳必备知识)第二篇·存储地址介绍
MR王峰的专栏
11-24 638
昨天分享了一篇PE结构详解(加壳脱壳必备知识),本篇是上一篇篇,主要介绍关于PE结构的三种存储地址 VA、RVA、FILEOFFSET及转换方式,希望对你有所帮助。 一、关于VA、RVA、FILEOFFSET VA:虚拟地址,PE文件映射到内存后的地址。 RVA:相对虚拟地址,内存地址相对于映射基地址的偏移地址。 FileOffset:文件偏移地址,相对PE文件在磁盘上的文件开头的偏移地...
一个PE注入,加壳的小工具
windows小菜鸡的博客
09-08 1216
本人最近无聊,写了一个入门级的PE的小工具,包括PE解析,最简单的软件加壳功能,代码注入等功能。供学习交流 1加壳功能 2、代码注入 PE查看 源码自取哦:链接:https://pan.baidu.com/s/1XSE1qQ6jKw9BRwJCOP_Sbg 提取码:9niy ...
单链表应用实践
LBX_0309的博客
08-05 933
本文总结了链表常见问题的解决思路和代码实现:1. 移除元素:通过创建新链表并尾插非目标值节点,注意断开原链表连接;2. 反转链表:使用三指针法(n1,n2,n3)或递归实现;3. 中间节点:快慢指针法,快指针两倍速移动;4. 合并有序链表:使用哨兵节点简化操作,按序连接节点;5. 回文判断:数组法或优化空间法(反转后半部分);6. 相交链表:计算长度差后同步遍历;7. 环形链表:快慢指针判断,相遇后找入口点。关键点包括指针操作、边界条件处理和空间优化。
集合框架(重点)
p4558533的博客
08-02 1124
本文介绍了Java集合框架的核心概念和常用实现类,包括Collection、List、Set、Queue、Map五大接口。重点分析了ArrayList与LinkedList的区别、HashMap的实现原理(JDK1.8后改为数组+链表+红黑树结构)以及线程安全替代方案如ConcurrentHashMap。详细讲解了集合的常用操作方法,包括增删改查、遍历等,并比较了不同集合的特性:List有序可重复,Set无序不可重复,Queue遵循FIFO原则。此外还介绍了Collections工具类提供的排序、查找等实用
vasp计算弹性常数
最新发布
weixin_74324570的博客
08-06 188
3.拖入VPKIT.in,注意第一行写1,用于前处理。1. 准备优化好的POSCAR文件
c语言创建的一个队列结构(含有这个头指针和这个尾指针的结构具有一定的参考价值)
为了生活苦学JAVA
08-01 378
c语言创建的含有这个头和这个尾的队列结构具有一定的参考价值谢谢
PE文件加壳保护技术的C++实现解析
1. **分析PE文件结构**:对PE文件格式的充分理解是编写加壳程序的第一步。需要识别PE头、节表、数据目录等关键部分,并明确如何修改它们以实现加壳目的。 2. **设计加壳算法**:这一步骤包括设计压缩算法和加密算法...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值