Windows PE 文件加壳学习笔记(续1)

最新推荐文章于 2025-08-10 16:08:53 发布
原创 最新推荐文章于 2025-08-10 16:08:53 发布 · 988 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#windows #output #汇编 #byte #image #exe

本文详细介绍了加壳程序的汇编代码实现过程,包括初始化、解码、IAT拷贝及重定位等关键步骤,并说明了所采用的类似PCX的游程码压缩算法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

 上回我给出了加壳程序的核心的代码,这回我给出 相关的汇编代码。  使用汇编我很无奈,我还不能能用纯C/C++来实现这些嵌入的代码。 代码注释得很清楚,是加壳这个壳的原始代码。  其中的加压缩的部分其实就是脱壳的部分。 其中注释中注明需重定位的,则需要在组装EXE文件的时候修改的。  也就是地址的重定位。。。
  1. cpu P3
  2. bits 32
  3. global _start
  5. section .text
  6. ;---------------------------------------------------------------
  7. ;初始化
  8. _start:
  9.         push ebp
  10.         mov ebp,esp
  11.         sub esp,0x20
  12.         pushad
  13.         
  14.         mov esi,0xFFFFFFFF  ;需重定位 解压源地址
  15.         mov [ebp-0x04*0x00],esi
  16.         mov edi,0xFFFFFFFF  ;需重定位   解压目的地址
  17.         mov [ebp-0x04*0x01],edi
  18.         mov ecx,0xFFFFFFFF  ;需重定位   压缩数据长度
  19.         mov [ebp-0x04*0x02],ecx 
  20.         mov eax,0xFFFFFFFF  ;需重定位   源代码入口
  21.         mov [ebp-0x04*0x03],eax 
  22.         
  23.         mov eax,0xFFFFFFFF  ;需重定位   IAT源地址
  24.         mov [ebp-0x04*0x04],eax     
  25.         mov eax,0xFFFFFFFF  ;需重定位   IAT目的地址
  26.         mov [ebp-0x04*0x05],eax     
  27.         mov eax,0xFFFFFFFF  ;需重定位   IAT长度
  28.         mov [ebp-0x04*0x06],eax             
  30.         
  31. ;---------------------------------------------------------------
  32. ;解码,恢复原映像数据
  34. ;   @decode_next_byte:
  35. ;       mov al,[esi]
  36. ;       not al
  37. ;       mov [edi],al
  38. ;       inc esi
  39. ;       inc edi
  40. ;       loop @decode_next_byte
  42. ;pcx 的RLE解码
  44.     @rle_decode_next_byte:
  45.         mov al,[esi]
  46.         cmp al,0xc0
  47.         je @rle_decode_exit ;0xC0结束符
  48.         jc @output_1
  49.         jnc @output_x
  51.         
  52.     @output_1:
  53.         mov al,[esi]
  54.         mov [edi],al
  55.         inc edi
  56.         inc esi
  57.         jmp @rle_decode_next_byte
  58.         
  59.     @output_x:
  60.         mov al,[esi]
  61.         sub al,0xC0
  62.         xor ecx,ecx
  63.         mov cl,al
  64.         inc esi
  65.         
  66.         mov al,[esi]
  67.     @next_repeat_byte:
  68.         mov al,[esi]
  69.         mov [edi],al
  70.         inc edi 
  71.         loop @next_repeat_byte
  72.         inc esi
  73.         jmp @rle_decode_next_byte
  74.         
  75.     @rle_decode_exit:
  77.         
  78. ;---------------------------------------------------------------
  79. ;拷贝IAT
  80.         mov ecx,[ebp-0x04*0x06]
  81.         mov esi,[ebp-0x04*0x04]
  82.         mov edi,[ebp-0x04*0x05]     
  83.         dec ecx
  84.     @copy_iat_next_byte:
  85.         mov al,[esi]
  86.         mov [edi],al
  87.         inc esi
  88.         inc edi     
  89.         loop @copy_iat_next_byte
  91. ;---------------------------------------------------------------
  92. ;准备进入原镜像代码
  95.         popad
  96.         mov eax,[ebp-0x04*0x03]     
  97.         mov esp,ebp
  98.         pop ebp     
  99.         jmp eax
  102. ;---------------------------------------------------------------

以上就是了那个啥,汇编代码了。。。 使用nasm编译通过
我是使用命令 nasm -f bin loader.asm -l loader.lst -o loader.dat。 对了,上述的汇编代码保存成 loader.asm文件哦

关于如何重定位,相关的C++代码是这样的
  1.     //重定位壳代码的地址
  2.     *((DWORD*)(tmpSectionBuf_text.begin()+nPackerCodeEntryOffset+PackerCodeRelocateOffset[0])) = pPEHeaders->OptionalHeader.ImageBase+pPEHeaders->OptionalHeader.SizeOfImage;
  3.     *((DWORD*)(tmpSectionBuf_text.begin()+nPackerCodeEntryOffset+PackerCodeRelocateOffset[1])) = pPEHeaders->OptionalHeader.ImageBase+pPEHeaders->OptionalHeader.SizeOfHeaders;
  4.     *((DWORD*)(tmpSectionBuf_text.begin()+nPackerCodeEntryOffset+PackerCodeRelocateOffset[2])) = nPackerCodeEntryOffset;
  5.     *((DWORD*)(tmpSectionBuf_text.begin()+nPackerCodeEntryOffset+PackerCodeRelocateOffset[3])) = pPEHeaders->OptionalHeader.ImageBase+pPEHeaders->OptionalHeader.AddressOfEntryPoint;
  6.     *((DWORD*)(tmpSectionBuf_text.begin()+nPackerCodeEntryOffset+PackerCodeRelocateOffset[4])) = pPEHeaders->OptionalHeader.ImageBase+pPEHeaders->OptionalHeader.SizeOfImage+nPackerIATOffset;
  7.     *((DWORD*)(tmpSectionBuf_text.begin()+nPackerCodeEntryOffset+PackerCodeRelocateOffset[5])) = pPEHeaders->OptionalHeader.ImageBase+pPEHeaders->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IAT].VirtualAddress;
  8.     *((DWORD*)(tmpSectionBuf_text.begin()+nPackerCodeEntryOffset+PackerCodeRelocateOffset[6])) = pPEHeaders->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IAT].Size;
  9.     
具体的看上回发的代码~~  结合上下文就能看明白了

另外我提一下,就是我采用的压缩解压算法是类似于 PCX 的游程码压缩,压缩比不是很高。。。 我就顺便提一下,嘿嘿。

由于时间问题,我没时间研究PE的资源等结构。。。所以现在这个加壳器不支持带资源的EXE文件,目前测试过的就是使用VC++编译的控制台程序运行正常~
找个机会我把我的工程代码发到 csdn 资源


silvasaga
关注
[网络安全自学篇] 七十九.Windows PE病毒原理、分类及感染方式详解
杨秀璋的专栏
05-20 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了XSS跨站脚本攻击案例,主要内容包括XSS原理、不同类型的XSS、XSS靶场9道题目、如何防御XSS。这篇文章将介绍Windows PE病毒, 包括PE病毒原理、分类及感染方式详解,并通过案例进行介绍。基础性文章,希望对您有所帮助~
[系统安全] 十七.Windows PE病毒概念、分类及感染方式详解
杨秀璋的专栏
02-01 1万+
作者前文介绍了PE文件格式,熟悉各种PE编辑查看工具,针对目标EXE程序新增对话框等;这篇文章将介绍Windows PE病毒, 包括PE病毒原理、分类及感染方式详解,并通过案例进行介绍。这些基础性知识不仅和系统安全相关,同样与我们身边的APP、常用软件及操作系统紧密联系,希望这些知识对您有所帮助,更希望大家提高安全意识,安全保障任重道远。本文参考了《软件安全》视频、安全网站和参考文献中的文章,并结合自己的经验和实践进行撰写,也推荐大家阅读参考文献。
PE文件加壳软件源代码
05-08
本软件能对PE文件exe加壳,保护程序,这个是源代码程序,学习加壳的,可以看看
(未完待Windows PE 文件加壳学习笔记
silvasaga的专栏
11-05 2059
要想给PE文件加壳,搞清楚PE文件的格式是前提。以可执行程序EXE文件为例, 由描述程序信息的文件头和记录代码数据的节组成。文件头包括DOS文件头, PE文件头, PE可选信息头组成下面给出个结构的C定义(在windos开发包 winnt.h 文件中可以找到)typedef struct _PE_IMAGE_DOS_HEADER {   // DOS .EXE header    WORD   e
加壳学习系列(一)-PE基础
qq_44370676的博客
06-11 1316
PE基础示例源代码010Editor查看NT可选头节表.text节PE中的重要信息PE结构节区PE文件的执行内存映射 示例 源代码 学习PE结构有示例总是好过纯看理论,示例用的C代码如下: #include<Windows.h> int WINAPI WinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPSTR lpCmdLine, int nCmdShow){ int i; i = MessageBoxA(NULL, "do yo
Windows可执行文件PE文件)壳的设计过程
个人博客
10-04 4021
PE文件壳的设计过程 标题:pe文件壳的设计过程 作者:baccon(PEDIY论坛),或chenxiang(软件发布者) 时间:2013年10月26日星期六
PE文件的简单加壳和脱壳(UPX和PEiD)
qq_29566629的博客
02-12 4684
先普及几个概念: PE文件:portable executable(可移植的可执行文件),主要在Windows系统中,包括exe/dll/sys文件加壳:是利用特殊的算法,对EXE、DLL文件里的资源进行压缩、加密。类似WINZIP 的效果,只不过这个压缩之后的文件,可以独立运行,解压过程完全隐蔽,都在内存中完成。它们附加在原程序上通过Windows加载器载入内存后,先于原始 程序执行,得到控制权,执行过程中对原始程序进行解密、还原,还原完成后再把控制权交还给原始程序,执行原来的代码部分。加上外壳后,
[系统安全] windows下C++编写第一个加壳程序
H4ppyD0g的博客
12-30 4120
本文为笔者从零基础学习系统安全相关内容的笔记,如果您对系统安全、逆向分析等内容感兴趣或者想要了解一些内容,欢迎关注。本系列文章将会随着笔者在未来三年的读研过程中持更新,由于笔者现阶段还处于初学阶段,不可避免参照复现各类书籍内容,如书籍作者认为侵权请告知,笔者将立刻删除。强调本系列所有内容仅作为学习研究使用,作者对此文章中的代码造成的任何后果不负法律责任。 前文链接 [系统安全] PE文件格式详解1 [系统安全] PE文件格式详解2 [系统安全] Windbg Preview调试记录
[网络安全自学篇] 六十一.PE文件逆向之数字签名详细解析及Signcode、PEView、010Editor、Asn1View等工具用法(二)
热门推荐
杨秀璋的专栏
03-24 1万+
本系列虽然叫“网络安全自学篇”,但由于系统安全、软件安全与网络安全息息相关,作者同样会分享一些系统安全案例及基础工具用法,也是记录自己的成长史,希望大家喜欢,一起进步。前文分享了数字签名的原理知识和Signtool签名工具,这篇文章将详细解析数字签名,采用Signtool工具对EXE文件进行签名,采用Asn1View、PEVie、010Editor等工具进行数据提取和分析,这是全网非常新的一篇文章,希望对您有所帮助~
[系统安全] 二十一.PE数字签名之()Signcode、PEView、010Editor、Asn1View工具用法
杨秀璋的专栏
02-09 7596
作者前文介绍了什么是数字签名,并采用Signtool工具对EXE文件进行签名,后深入分析数字签名的格式及PE病毒内容。这篇文章将详细解析数字签名,采用Signtool工具对EXE文件进行签名,接着利用Asn1View、PEVie、010Editor等工具进行数据提取和分析,这是全网非常新的一篇文章,希望对您有所帮助。 这些基础性知识不仅和系统安全相关,同样与我们身边常用的软件、文档、操作系统紧密联系,希望这些知识对您有所帮助,更希望大家提高安全意识,安全保障任重道远。本文参考了参考文献中的文章,并结合自己
PE文件操作-简单的加壳实现
yeshahayes的博客
08-14 3863
处于一些原因,需要对PE文件进行加壳。所谓加壳就是有某种编码算法对原始文件数据进行编码,并使原始文件内容成为数据部分,而嵌进文件的解密代码成为主体。在loader加载加壳文件后,会将控制权交给解码程序,解码程序在完成解码后,再把控制权交给原始代码。 这个加壳程序是学习之用,所以只实现了最简单的可逆变换-异或运算。对文件操作用了内存映射文件,所以直接操作内存即可。 先说一下思路:对原始PE文件编码
如何用程序判定一个PE文件是否加壳
p312011150的博客
06-27 6819
如何用程序判定一个PE文件是否加壳 Lenus2010-6-22 10:41 29100 由于工作原因,时间比较少上论坛来泡泡了。最近由于某些原因时间变得稍微宽裕了些,有空整理整理这几年的一些资料和文档。 感觉这个方向论坛上讨论得并不多,是这个方向没有什么使用价值呢,还是说太简单了大家都不愿意研究?总而言之,我个人感觉这个方向还是一个挺有趣的,所以发上来共享一下。 这篇
PE结构详解(加壳脱壳必备知识)第二篇·存储地址介绍
MR王峰的专栏
11-24 639
昨天分享了一篇PE结构详解(加壳脱壳必备知识),本篇是上一篇篇,主要介绍关于PE结构的三种存储地址 VA、RVA、FILEOFFSET及转换方式,希望对你有所帮助。 一、关于VA、RVA、FILEOFFSET VA:虚拟地址,PE文件映射到内存后的地址。 RVA:相对虚拟地址,内存地址相对于映射基地址的偏移地址。 FileOffset:文件偏移地址,相对PE文件在磁盘上的文件开头的偏移地...
一个PE注入,加壳的小工具
windows小菜鸡的博客
09-08 1216
本人最近无聊,写了一个入门级的PE的小工具,包括PE解析,最简单的软件加壳功能,代码注入等功能。供学习交流 1加壳功能 2、代码注入 PE查看 源码自取哦:链接:https://pan.baidu.com/s/1XSE1qQ6jKw9BRwJCOP_Sbg 提取码:9niy ...
单链表专题---暴力算法美学(1)(有视频演示)
asciiletters的博客
08-07 759
本文介绍了链表操作的三个常见问题及解决方案。1.移除链表元素:通过创建新链表,遍历原链表将非目标值节点尾插到新链表中;2.反转链表:使用三指针法(n1,n2,n3)逐步反转节点指向;3.寻找/删除中间节点:采用快慢指针法,快指针每次移动两步,慢指针移动一步,并讨论了使用虚拟头节点(dummy)处理边界情况的重要性,特别是当需要删除头节点时的特殊情况处理。文中对各算法的实现细节和注意事项进行了详细说明,包括指针操作顺序、循环终止条件等关键点。
winform中的listbox实现拖拽功能
weixin_44710358的博客
08-07 248
本文介绍了如何在WinForm中实现ListBox控件的拖拽功能。通过设置目标ListBox的AllowDrop属性为True,并实现四个关键事件:MouseDown(记录拖拽起始位置)、MouseMove(触发拖拽操作)、DragEnter(设置拖拽效果)和DragDrop(完成数据移动)。代码示例展示了如何将一个ListBox中的项拖拽到另一个ListBox中,并提供了完整的实现方法和效果演示。该功能可用于实现直观的数据交互界面,提升用户体验。
Day25--回溯--491. 非递减子序列,46. 全排列,47. 全排列 II
m0_60740070的博客
08-07 467
Day25--回溯--491. 非递减子序列,46. 全排列,47. 全排列 II,回溯问题总结
Java集合框架、Collection体系的单列集合
最新发布
FUYY'S BLOG
08-10 402
Java集合框架是用于存储和操作对象的容器体系,主要分为和两大根接口。其中接口用于存储单个元素的集合,接口用于存储键值对映射关系。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值