PE文件操作-简单的加壳实现

最新推荐文章于 2025-05-15 14:34:06 发布
原创 最新推荐文章于 2025-05-15 14:34:06 发布 · 3.8k 阅读 · 13 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了如何实现一个简单的PE文件加壳程序,主要使用异或运算对文件数据进行编码。在加壳过程中,保留了文件头、原始节表,并在文件末尾添加新的节以存放解码代码和数据。备份资源节、遍历所有节进行编码、构造解码程序所需的配置信息等步骤详述。最后,解码代码将控制权转交给原始代码的入口点(OEP)。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

处于一些原因,需要对PE文件进行加壳。所谓加壳就是有某种编码算法对原始文件数据进行编码,并使原始文件内容成为数据部分,而嵌进文件的解密代码成为主体。在loader加载加壳文件后,会将控制权交给解码程序,解码程序在完成解码后,再把控制权交给原始代码。
这个加壳程序是学习之用,所以只实现了最简单的可逆变换-异或运算。对文件操作用了内存映射文件,所以直接操作内存即可。
先说一下思路:对原始PE文件编码,一般是保护数据部分,而文件头则不需要进行编码,所以保留文件头。至于原始文件的节表我们也会保留,而我们会在原始PE文件末尾追加几个节以供解码(见PE文件操作-在末尾添加节)。

  • PACKRES节:备份的原始PE的资源数据。这个节是原始文件中唯一需要备份的节,因为图标的显示以及一些程序配置都在这个节中,涉及到程序的加载参数,所以需要保留。
  • PACKCODE节:解码代码,负责解码所有节,填充IAT和跳回OEP。
  • PACKDATA节:解码参数,其中保存了映像信息,原始节表。由于在填充IAT过程中用到了LoadLibrary和GetProcAddress,所以这个节还包含了我们壳程序的导入表和IAT。

最终文件结构就像下面这样:
原始数据
PACKRES
  RES1
  RES2
  …….
PACKCODE
  CODE
PACKDATA
  PACK_CONFIG
  IAT
  INT

首先是备份资源节,这个操作最简单,在PE末尾后添加一个节,把原始资源节的数据拷贝至其中,然后遍历 资目录修正其中数据目录项的DataOffset,这个修正过程和重定位表的修正差不多,大致流程:

    PIMAGE_SECTION_HEADER res_sec;
    insert_section_at_eof(ctx,
        "PACKRES",
        opt_hdr->DataDirectory[IMAGE_DIRECTORY_ENTRY_RESOURCE].Size,
        IMAGE_SCN_MEM_READ | IMAGE_SCN_MEM_WRITE | IMAGE_SCN_CNT_INITIALIZED_DATA,
        &res_sec);

    DWORD old_res = opt_hdr->DataDirectory[IMAGE_DIRECTORY_ENTRY_RESOURCE].VirtualAddress;
    //拷贝数据
    memcpy((PUCHAR)ctx->map_ptr + res_sec->PointerToRawData,
        (PUCHAR)ctx->map_ptr + rva_to_fo(ctx, (opt_hdr->DataDirectory[IMAGE_DIRECTORY_ENTRY_RESOURCE].VirtualAddress)),
        opt_hdr->DataDirectory[IMAGE_DIRECTORY_ENTRY_RESOURCE].Size);
    //将资源目录定位到新的节
    opt_hdr->DataDirectory[IMAGE_DIRECTORY_ENTRY_RESOURCE].VirtualAddress = res_sec->VirtualAddress;
    //修正dataoffset
    adjust_resource_rva(ctx, res_sec->VirtualAddress - old_res);

这一步的效果如下图:
这里写图片描述
这一步备份完后,就可以对原始数据编码了,遍历所有节进行编码,这里要小心一下,因为有些奇怪的程序VirtualSize是比SizeOfRawData大的,不要想当然的觉得VirtualSize肯定小:

    for (int i = 0;i < get_section_count(ctx)-1;i++)
    {
        PIMAGE_SECTION_HEADER sec_hdr;
        get_section_entry_by_index(ctx, i, &sec_hdr);

        for (int j = 0;j < sec_hdr->SizeOfRawData;j++)
        {
            *((PUCHAR)ctx->map_ptr + sec_hdr->PointerToRawData + j) ^= 0x1;
        }
    }

这一步后,PE文件便无法使用了,只能看到其资源数据,而双击是无法打开的。
然后开始构造供解码程序使用的配置信息,这里准备了6个数据,
OriginalImportTable用来让解码程序找到原始导入目录,
OriginalIATDirectory找到原始IAT目录,
NumberOfSections记录了需要解码的节数量,
ImageBase记录了加载机制,用于和RVA相加, <

最低0.47元/天 解锁文章

200万优质内容无限畅学
Linux下ELF二进制文件加壳,pe/elf 文件加壳时的处理
weixin_42318912的博客
04-29 2435
==Ph4nt0m Security Team==Issue 0x02, Phile #0x0A of 0x0A|=—————————————————————————=||=———————-=[ pe/elf 文件加壳时的处理 ]=———————-=||=—————————————————————————=||=—————————————————————————=||=————————–=[ ...
pediy——对PE文件进行加壳保护
08-21
《加密与解密》第三版书中源代码,实现PE文件的加壳保护
PE文件的简单加壳和脱壳(UPX和PEiD)
qq_29566629的博客
02-12 4691
先普及几个概念: PE文件:portable executable(可移植的可执行文件),主要在Windows系统中,包括exe/dll/sys文件。 加壳:是利用特殊的算法,对EXE、DLL文件里的资源进行压缩、加密。类似WINZIP 的效果,只不过这个压缩之后的文件,可以独立运行,解压过程完全隐蔽,都在内存中完成。它们附加在原程序上通过Windows加载器载入内存后,先于原始 程序执行,得到控制权,执行过程中对原始程序进行解密、还原,还原完成后再把控制权交还给原始程序,执行原来的代码部分。加上外壳后,
软件加密技术详解:PE格式、Windows基础及加壳脱壳
最新发布
weixin_42465140的博客
05-15 1536
PE(Portable Executable)文件格式是Windows操作系统中的可执行文件格式,它继承自早期的Unix系统中的COFF(Common Object File Format)格式,并对其进行了扩展和优化。PE格式起源于1990年代初,随着Windows NT的发展而被创造出来,目的是为了提供一个与平台无关的执行环境,使得软件能够在不同架构的Windows系统上运行。PE文件格式具有以下特点:模块化:PE文件由若干个模块组成,每个模块都有自己的属性和功能,便于管理和扩展。
简单加壳
weixin_30419799的博客
01-18 209
  对最近所学的知识做了总结,通过这个小项目加深印象。 主界面: 拖拽文件到窗口中 用到的工具有:   apktool.jar   signapk.jar 目录结构: 转载于:https://www.cnblogs.com/Engi-xx/p/6295723.html...
PE文件简单加密(加壳)--源码 <img src="/images/sunny.gif" ali
02-23
这个小软件通过在可执行文件(.exe)的尾部添加一个新节(Section),并且修改PE的入口地址,使可执行文件在运行时,跳出一个输入密码的对话框,从而实现简单的加密。源程序采用Delphi 6.0编写, 兼有少量的asm代码,用於可执行文件的加密。如需传播,请保留作品的完整性!
PE文件加壳
yellow的博客
06-15 2124
1、upx的壳,官网地址https://upx.github.io/ 这种壳很常见,应该是技术已经很纯熟了,加壳、脱壳利用官网发布的工具可以轻松实现。 程序参数如下: 试验一下: 加壳:(如果程序已经加过upx的,工具发现后会提示已经加过壳,不再二次加壳) 脱壳:(如果程序没有加过upx壳,工具会提示,不会进行脱壳) 2、MPRESS壳,官网地址http://www.mat...
PEiD 0.95:深度检测PE文件470+种加壳技术
PE文件格式是Windows操作系统中用于可执行文件、目标文件、动态链接库和驱动程序的主要格式。它包含了文件的元数据、代码和资源等信息。PE格式是基于更早的COFF(Common Object File Format)格式发展起来的,其结构...
Win32Test1_Pe查看器代码_PE加壳_
10-04
对于"Win32Test1"这个文件,可能是一个简单的示例程序,用于展示PE文件的解析和分析。 描述中的"查看exe"进一步强调了我们将关注如何查看和理解.exe文件。这通常涉及到对PE头、节区、导入表、导出表、资源、调试...
C++实现PE文件添加新节区(加壳器)
Anansi的博客
03-21 3102
最近潜心研究二进制安全,接触到了shellcode还有加壳脱壳有关的内容,于是心血来潮,想用自己不怎么成熟的编程功夫来实现写一个加壳器,并记录下代码编写过程中遇到的坑。 (以下文章中区段==节区) PE文件格式 pe(Portable Executable)其实就是在windows系统上的程序文件,这种文件格式在windows系列操作系统上基本上是通用的,我们平时见到的.exe、.dll、.obj...
C# 简单加壳
Query!
09-05 1918
新建一个CMD项目,复制程序到项目文件中,并设置成为“嵌入式资源”。 程序代码 Stream sr = Assembly.GetExecutingAssembly().GetManifestResourceStream("Query.e.exe"); byte[] fileB
文件加壳工具
04-22
【软件使用方法】: 1.绿色版软件,不需要安装;压缩包里如果有【@绿化工具.exe、!)绿化.bat 、 !)绿化.reg 、 !)绿化.cmd 、@Install_绿化.exe、 !)双击导入.reg 、 !)注册导入.reg】等类似文件。 请先要运行该类文件,这样才能让程序正常运行。 2.安装好软件后,将注册机放在安装目录的文件夹内 3.双击注册机,软件运行,看到有注册按钮后,点注册,在注册信息里填写用户名等,注册码随便填写 4.点击确定按钮,注册机将出现正确的注册码,将刚才的注册名和正确注册码填入软件即可注册。 破解补丁使用方法: 1.安装好软件后,将补丁放在安装目录文件夹内 2.运行补丁,后即可使用软件。即使软件显示未注册,但所有功能和时间限制都已经破除
PE文件加壳软件源代码
05-08
本软件能对PE文件exe加壳,保护程序,这个是源代码程序,学习加壳的,可以看看
一款超牛的加壳工具,对可执行文件都可以加壳
11-12
一款超牛的加壳工具,可以对木马加壳,对EXE,BAT,等可执行文件加壳...
winupack加壳工具
01-10
1.极高的无损压缩率,但比其他常用工具较慢. 2.软件本身极小,不到20K. 3.支持长文件名. 4.支持通配符. 5.支持固实压缩技术. 6.支持制作自解压文件. 7.图形界面,支持文件拖放。
PE加壳工具源码
05-26
添加新的区段、修改OEP、加密源代码、添加密码验证窗口、简单反调试。
加壳学习系列(一)-PE基础
qq_44370676的博客
06-11 1316
PE基础示例源代码010Editor查看NT可选头节表.text节PE中的重要信息PE结构节区PE文件的执行内存映射 示例 源代码 学习PE结构有示例总是好过纯看理论,示例用的C代码如下: #include<Windows.h> int WINAPI WinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPSTR lpCmdLine, int nCmdShow){ int i; i = MessageBoxA(NULL, "do yo
简单的手工加壳
Winter_Zero的博客
12-27 612
1.去掉随机基址 修改完后记得保存。 2.记录OEP及添加新区段的信息 OEP:00011339(RVA) EP:00020000(RVA) 区段名称:. Pack 虚拟 / 物理大小(区段的大小):500 文件偏移:00009600 3.给. Pack区段添加数据 根据文件偏移,找到区段在文件中的位置。 快捷键:Ctrl + G (00009600) 再根据区段的大小(刚才我们设置了区...
(未完待续)Windows PE 文件加壳学习笔记
silvasaga的专栏
11-05 2059
要想给PE文件加壳,搞清楚PE文件的格式是前提。以可执行程序EXE文件为例, 由描述程序信息的文件头和记录代码数据的节组成。文件头包括DOS文件头, PE文件头, PE可选信息头组成下面给出个结构的C定义(在windos开发包 winnt.h 文件中可以找到)typedef struct _PE_IMAGE_DOS_HEADER {   // DOS .EXE header    WORD   e
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值