如何从零开始写一个加壳器
本篇内容介绍了"如何从零开始写一个加壳器"的有关知识,在实际案例的操作过程中,不少人都会遇到这样的困境,接下来就让小编带领大家学习一下如何处理这些情况吧!希望大家仔细阅读,能够学有所成!
加壳原理
手工加壳
即我们向PE文件添加一个区段并将其设置为入口点,这样PE文件最开始执行的命令就是我们添加的区段也就是壳的指令,壳对加密区进行解密,对压缩区进行解压,将原本的EXE文件还原出来,然后跳转至原程序入口,程序照常运行。
首先生成一个打印hello的exe文件。
#includeint main() {printf("hello");}
我们目前要干的事情是:以手动的形式向PE文件添加一个壳部分并设为程序入口,并使其能跳转回原入口。 那就来吧
用010editor打开我们的exe文件,启用exe模板分析。 我们首先修改其文件头numverofsection属性,这个属性用来定义当前PE文件存在多少个区段,因为我们要添加一个壳区段,所以我们将其加1变成6
在我们重载模板后我们就会在区段表发现多出来一个空的区段表
从上到下各个比较重要字段的意思是 \1. Name 表示该区段的名字 2.VirtualSize 表示在内存中的大小(一般内存对齐为0x1000) 3.virtualaddress 虚拟地址 即上一个区段的VirtualAddress + 上一个区段经内存对齐粒度对齐后的大小 4.sizeofdata 表示在文件中的大小(一般文件对齐为0x200) 5.pointertorawdata 文件的偏移 即 上一个区段的PointerToRawData + 上一个区段的SizeOfRawData
然后我们通过修改以上各值来定义一个新区段(壳区段)的属性
这里的virtualsize看着填一个就行了。 此时我们只是定义了区段表,但文件中并没有该区段存在,所以我们得创建该区段。 然后还要让区段可编辑,把下列值改为1即可
ctrl+shift+i 向目标文件偏移处插入0x200大小的空间。 这样一来,壳区段就创建好了。 然后我们还要修改 扩展头的SizeofImage 。将他改为最后一个区段的内存地址+内存大小
然后去掉随机基址选项。
找到扩展头的DLL属性字段,去掉随机基址,把40 81改为 00 81
接下来我们把程序入口点设置给壳区段。 使用LORDPE把入口点设为壳区块的虚拟地址
然后我们用OD打开这个文件
真正的加壳流程
刚刚提到的手工加壳,不过是最最基础的加壳原型而已,真正的加壳还涉及了代码加解密等操作.
真正写壳时一般写两个东西,加壳器和stub 所谓加壳器,就是给被加壳文件创造出一个新的区段, 在此同时将程序以某种方式加密,然后把stub放入新区段,并将程序入口点设为新区段的地址,然后在新区段结束后跳转回原程序入口。这个新区段我们叫做壳区段. 那么这个stub就是加壳后程序最先执行的命令了,它执行解密算法,将原程序释放出来。
基于c++的壳编写
https://github.com/ConsT27/PackingEXE/tree/master项目地址
Stub
stub是被植入到PE文件中的代码,它一般会干下面这些事情。
流程如下
0.合并data,rdata到text 1.PEB动态寻址,遍历导出表找到GetProcAddress函数 2.解密 3.修改入口点到原入口点
同时stub一般以dll的形式存在。原因是DLL通常自带重定位表,这在我们的移植过程中的重定位操作中提供了巨大的便利。
合并数据段
我们要移植stub过去,肯定需要移植代码段,也需要移植数据段。不如我们干脆把数据段合并到代码段,一块移植过去。
PEB动态寻址&导出表遍历找函数
为什么会用到这个技术编写stub? 因为我们的stub.dll植入到宿主程序时,只有.text植入过去,没有对应的导入表,所以我们的stub无法直接调用一些API。所以我们需要动态获取各种API。 其中我采用的是PEB动态查询得到GetProcAddress函数,然后用GetProcAddress函数去获取各个API。
那么,什么是PEB? PEB是一个微软还未完全公开作用的一个结构,它叫做 进程环境信息块 ,包含了进程的信息。其结构如下
typedef struct _PEB {BYTE Reserved1[2];BYTE BeingDebugged; //被调试状态BYTE Reserved2[1];PVOID Reserved3[2];PPEB_LDR_DATA Ldr;PRTL_USER_PROCESS_PARAMETERS ProcessParameters;BYTE Reserved4[104];PVOID Reserved5[52];PPS_POST_PROCESS_INIT_ROUTINE PostProcessInitRoutine;BYTE Reserved6[128];PVOID Reserved7[1];ULONG SessionId;} PEB, *PPEB;复制代码
我们关心的是PEB偏移0c得到的 PPEB_LDR_DATA Ldr; 它是一个指针,指向一个 PPEB_LDR_DATA 结构, 存放着已经被进程装在的动态链接库的信息
typedef struct _PEB_LDR_DATA{ULONG Length; // +0x00BOOLEAN Initialized; // +0x04PVOID SsHandle; // +0x08LIST_ENTRY InLoadOrderModuleList; // +0x0cLIST_ENTRY InMemoryOrderModuleList; // +0x14LIST_ENTRY InInitializationOrderModuleList;// +0x1c} PEB_LDR_DATA,*PPEB_LDR_DATA; // +0x24
PPEB_LDR_DATA 偏移1c是一个指向LIST_ENTRY InInitializationOrderModuleList结构的指针,这个结构 存放着指向模块初始化链表的头 , 按顺序存放着PE装入运行时初始化模块信息,一般来说第一个链表结点是ntdll.dll,第二个链表结点就是kernel32.dll 。我们就在其中找到kernel32.dll的信息,获取其PE信息,得到导出表,循环遍历得到GetProcAddress函数。 另外,PEB地址再TEB偏移0x30处。用汇编语言表示就是 fs:[0x30]。
以上是PEB寻址的大致流程,另外还有一个比较关键的点是遍历kernel32.dll导出表获得GetProcAddress函数信息。 关于导出表可以看看这个文章https://blog.csdn.net/evileagle/article/details/12176797
首先一个导出表结构体如下
typedef struct _IMAGE_EXPORT_DIRECTORY {DWORD Characteristics; //一般为0,没啥用DWORD TimeDateStamp; //导出表生成的时间WORD MajorVersion; //版本,也是0没啥用WORD MinorVersion; //也是没啥用的版本信息一般为0DWORD Name; //当前导出表的模块名字DWORD Base; //序号表中序号的基数DWORD NumberOfFunctions; //导出函数数量DWORD NumberOfNames; //按名字导出函数的数量DWORD AddressOfFunctions; // 序号表DWORD AddressOfNames; // 名称表DWORD AddressOfNameOrdinals; // 地址表} IMAGE_EXPORT_DIRECTORY, *PIMAGE_EXPORT_DIRECTORY;
其中序号表的起始序号是Base属性定义的值。以下是导出表的序号名称地址表的关系
我们的遍历流程是,先遍历名称表找到GetProcAddress在名称数组中的下标,然后根据这个下标去序号数组中找相同下标的序号值,然后以这个序号值为下标去找地址数组中的对应值。我们找到的地址表中的值就是函数入口
下面我把这段程序的汇编代码放出来。我是用内联汇编把这段代码塞进C++的
void GetApis(){HMODULE hKernel32;_asm{pushad;; //获取kernel32.dll的加载基址;mov eax, fs: [0x30] ; //得到PEB地址mov eax, [eax + 0ch]; //获得LDR_PEB_DATA地址mov eax, [eax + 0ch]; //获得LIST_ENTRY InLoadOrderModuleList;地址mov eax, [eax]; //获得LIST_ENTRY InLoadOrderModuleList下一项的地址mov eax, [eax]; /获得LIST_ENTRY InLoadOrderModuleList下下项即我们需要的LIST_ENTRY InInitializationOrderModuleList的地址mov eax, [eax + 018h]; //获得kernel32.dll地址mov hKernel32, eax;mov ebx, [eax + 03ch];//获得kernel32.dll NT头RVAadd ebx, eax; //NT头的VAadd ebx, 078h; //获得区段表mov ebx, [ebx]; //获得导出表RVAadd ebx, eax; //导出表VAlea ecx, [ebx + 020h]; mov ecx, [ecx]; // ecx => 名称表的首地址(rva);add ecx, eax; // ecx => 名称表的首地址(va);xor edx, edx; // 作为索引(index)来使用._WHILE:;mov esi, [ecx + edx * 4];//名称数组入口点rva,名称数组单位大小4字节lea esi, [esi + eax]; //入口点VAcmp dword ptr[esi], 050746547h; //进行名称匹配,050746547h即小端存储的GetPjne _LOOP;//不相等就跳入_LOOP段cmp dword ptr[esi + 4], 041636f72h; //名陈匹配,rocA,以下依次为ddre,ssjne _LOOP;cmp dword ptr[esi + 8], 065726464h;jne _LOOP;cmp word ptr[esi + 0ch], 07373h;jne _LOOP;mov edi, [ebx + 024h]; add edi, eax; //获得序号表VAmov di, [edi + edx * 2]; //获得序号数组中对应下标的地址,序号数组单位大小2字节and edi, 0FFFFh; //给di提位到32位,即给予edi 序号表中对应下标的地址mov edx, [ebx + 01ch]; add edx, eax; //获得地址表mov edi, [edx + edi * 4]; //获得地址数组中,序号对应的值,地址数组单位大小4字节add edi, eax; //获得GetProcAddress的入口地址mov MyGetProcAddress, edi; //赋值jmp _ENDWHILE; //END_LOOP:;inc edx; // ++index;jmp _WHILE;_ENDWHILE:;popad;}
解密
解密代码段。这段好写。
void Decrypt(){unsigned char* pText = (unsigned char*)g_conf.textScnRVA + 0x400000;//锁定到PE文件的text段(因为加壳时去掉了基址随机化,所以自信的把基址填成0x400000DWORD old = 0;MyVirtualProtect(pText, g_conf.textScnSize, PAGE_READWRITE, &old);//修改代码段的属性,注意我们这里使用了动态获得的//解密代码段for (DWORD i = 0; i < g_conf.textScnSize; i++){pText[i] ^= g_conf.key;}//把属性修改回去MyVirtualProtect(pText, g_conf.textScnSize, old, &old);}
修改入口点
_asm {mov eax, g_conf.srcOep; //入口点是g_conf.srcOepadd eax, 0x400000jmp eax}
加壳器
加壳器流程如下
1.打开需要被加壳的PE文件 2.加载stub 3.加密代码段 4.添加新区段 5.stub重定位修复 6.stub移植 7.PE文件入口点修改 8.去随机基址 9.保存文件
以下的各个流程描述中会用到诸多自定义函数,我先贴上来吧。
诸多自定函数&结构体
//****************//对齐处理//time:2020/11/5//****************int AlignMent(_In_ int size, _In_ int alignment) {return (size) % (alignment)==0 ? (size) : ((size) / alignment+1) * (alignment);}//***********************//PE信息获取函数簇//time:2020/11/2//***********************PIMAGE_DOS_HEADER GetDosHeader(_In_ char* pBase) {return PIMAGE_DOS_HEADER(pBase);}PIMAGE_NT_HEADERS GetNtHeader(_In_ char* pBase) {return PIMAGE_NT_HEADERS(GetDosHeader(pBase)->e_lfanew+(SIZE_T)pBase);}PIMAGE_FILE_HEADER GetFileHeader(_In_ char* pBase) {return &(GetNtHeader(pBase)->FileHeader);}PIMAGE_OPTIONAL_HEADER32 GetOptHeader(_In_ char* pBase) {return &(GetNtHeader(pBase)->OptionalHeader);}PIMAGE_SECTION_HEADER GetLastSec(_In_ char* pBase) {DWORD SecNum = GetFileHeader(pBase)->NumberOfSections;PIMAGE_SECTION_HEADER FirstSec = IMAGE_FIRST_SECTION(GetNtHeader(pBase));PIMAGE_SECTION_HEADER LastSec = FirstSec + SecNum - 1;return LastSec;}PIMAGE_SECTION_HEADER GetSecByName(_In_ char* pBase,_In_ const char* name) {DWORD Secnum = GetFileHeader(pBase)->NumberOfSections;PIMAGE_SECTION_HEADER Section = IMAGE_FIRST_SECTION(GetNtHeader(pBase));char buf[10] = { 0 };for (DWORD i = 0; i < Secnum; i++) {memcpy_s(buf, 8, (char*)Section[i].Name, 8);if (!strcmp(buf, name)) {return Section + i;}}return nullptr;}typedef struct _StubConf{DWORD srcOep; //入口点DWORD textScnRVA; //代码段RVADWORD textScnSize; //代码段的大小DWORD key; //解密密钥}StubConf;struct StubInfo{char* dllbase; //stub.dll的加载基址DWORD pfnStart; //stub.dll(start)导出函数的地址StubConf* pStubConf; //stub.dll(g_conf)导出全局变量的地址};
打开PE文件
这里采用的方法是利用CreateFileA函数。同时这个函数还抛出了一个指向PE文件大小的指针
char* GetFileHmoudle(_In_ const char* path,_Out_opt_ DWORD* nFileSize) {//打开一个文件并获得文件句柄HANDLE hFile = CreateFileA(path,GENERIC_READ,FILE_SHARE_READ,NULL,OPEN_ALWAYS,FILE_ATTRIBUTE_NORMAL,NULL);//获得文件大小DWORD FileSize = GetFileSize(hFile, NULL);//返回文件大小到变量nFileSizeif(nFileSize)*nFileSize = FileSize;//申请一片大小为FileSize的内存并将指针置于首位char* pFileBuf = new CHAR[FileSize]{ 0 };//给刚刚申请的内存读入数据DWORD dwRead;ReadFile(hFile, pFileBuf, FileSize, &dwRead, NULL);CloseHandle(hFile);return pFileBuf;}
加载STUB
void LoadStub(_In_ StubInfo* pstub) {pstub->dllbase = (char*)LoadLibraryEx(L"F:\\stubdll.dll", NULL, DONT_RESOLVE_DLL_REFERENCES);pstub->pfnStart = (DWORD)GetProcAddress((HMODULE)pstub->dllbase, "Start"); //获得stub的入口函数Start(自己定义在stub中的一个函数pstub->pStubConf = (StubConf*)GetProcAddress((HMODULE)pstub->dllbase, "g_conf");}//不仅加载了stub,还获得了stub抛出的用于收集信息的全局结构体(g_conf,是一个stub抛出的结构体,用于获取信息,结构如下)typedef struct _StubConf{DWORD srcOep; //入口点DWORD textScnRVA; //代码段RVADWORD textScnSize; //代码段的大小DWORD key; //解密密钥}StubConf;
加密代码段
DWORD textRVA = GetSecByName(PeHmoudle, ".text")->VirtualAddress;DWORD textSize = GetSecByName(PeHmoudle, ".text")->Misc.VirtualSize;Encry(PeHmoudle,pstub);void Encry(_In_ char* hpe,_In_ StubInfo pstub) {//获取代码段首地址BYTE* TargetText = GetSecByName(hpe, ".text")->PointerToRawData + (BYTE*)hpe;//获取代码段大小DWORD TargetTextSize = GetSecByName(hpe, ".text")->Misc.VirtualSize;//加密代码段for (int i = 0; i < TargetTextSize; i++) {TargetText[i] ^= 0x15;}pstub.pStubConf->textScnRVA = GetSecByName(hpe, ".text")->VirtualAddress;pstub.pStubConf->textScnSize = TargetTextSize;pstub.pStubConf->key = 0x15;}//加密代码段,并给予了stub一些信息
添加新区段
char* AddSec(_In_ char*& hpe, _In_ DWORD& filesize, _In_ const char* secname, _In_ const int secsize) {GetFileHeader(hpe)->NumberOfSections++;PIMAGE_SECTION_HEADER pesec = GetLastSec(hpe);//设置区段表属性memcpy(pesec->Name, secname, 8);pesec->Misc.VirtualSize = secsize;pesec->VirtualAddress = (pesec - 1)->VirtualAddress + AlignMent((pesec - 1)->SizeOfRawData,GetOptHeader(hpe)->SectionAlignment);pesec->SizeOfRawData = AlignMent(secsize, GetOptHeader(hpe)->FileAlignment);pesec->PointerToRawData = AlignMent(filesize,GetOptHeader(hpe)->FileAlignment);pesec->Characteristics = 0xE00000E0;//设置OPT头映像大小GetOptHeader(hpe)->SizeOfImage = pesec->VirtualAddress + pesec->SizeOfRawData;//扩充文件数据int newSize = pesec->PointerToRawData + pesec->SizeOfRawData;char* nhpe = new char [newSize] {0};//向新缓冲区录入数据memcpy(nhpe, hpe, filesize);//缓存区更替delete hpe;filesize = newSize;return nhpe;}
stub重定位
好家伙,这个东西稍有不慎就会让整个程序拉跨掉(过来人的忠告 为什么需要stub重定位呢?因为我们的stub最开始是加载在内存中的,它的许多指令如跳转到的地址是按内存为基准确定的,但是我们需要把他移植进文件,所以它的代码里许多地址就是错误的,我们需要对这些地址进行处理,即重定位,使其以宿主程序为标准进行地址修复。 可能我表述的不是很清楚
举个例子吧,比如stub在加载进内存时,有一条跳转指令时jmp 12345678, 如果我们不处理就把这条指令移植进PE文件,那么PE文件执行到此处时就会跳转到12345678,此时的12345678地址可能就已经不是PE文件加载的内存区间了,从而程序会崩溃。所以要修复。根据stub的重定位表进行修复。 重定位表就是记录哪些地址的数据需要被修复的,我们遍历这些地址进行修复即可。 如果以下代码看起来吃力,可以先去了解一下重定位表
void FixStub(DWORD targetDllbase, DWORD stubDllbase,DWORD targetNewScnRva,DWORD stubTextRva ){//找到stub.dll的重定位表DWORD dwRelRva = GetOptHeader((char*)stubDllbase)->DataDirectory[5].VirtualAddress;IMAGE_BASE_RELOCATION* pRel = (IMAGE_BASE_RELOCATION*)(dwRelRva + stubDllbase);//遍历重定位表while (pRel->SizeOfBlock){struct TypeOffset{WORD offset : 12;WORD type : 4;};TypeOffset* pTypeOffset = (TypeOffset*)(pRel + 1);DWORD dwCount = (pRel->SizeOfBlock - 8) / 2; //需要重定位的数量for (int i = 0; i < dwCount; i++){if (pTypeOffset[i].type != 3){continue;}//需要重定位的地址DWORD* pFixAddr = (DWORD*)(pRel->VirtualAddress + pTypeOffset[i].offset + stubDllbase);DWORD dwOld;//修改属性为可写VirtualProtect(pFixAddr, 4, PAGE_READWRITE, &dwOld);//去掉dll当前加载基址*pFixAddr -= stubDllbase;//去掉默认的段首RVA*pFixAddr -= stubTextRva;//换上目标文件的加载基址*pFixAddr += targetDllbase;//加上新区段的段首RVA*pFixAddr += targetNewScnRva;//把属性修改回去VirtualProtect(pFixAddr, 4, dwOld, &dwOld);}//切换到下一个重定位块pRel = (IMAGE_BASE_RELOCATION*)((DWORD)pRel + pRel->SizeOfBlock);}
stub移植
这个简单,没啥说的
memcpy(GetLastSec(PeNewHmoudle)->PointerToRawData+ PeNewHmoudle,GetSecByName(pstub.dllbase, ".text")->VirtualAddress+pstub.dllbase,GetSecByName(pstub.dllbase,".text")->Misc.VirtualSize);
入口点修改
GetOptHeader(PeNewHmoudle)->AddressOfEntryPoint =pstub.pfnStart-(DWORD)pstub.dllbase-GetSecByName(pstub.dllbase,".text")->VirtualAddress+GetLastSec(PeNewHmoudle)->VirtualAddress;
去随机基址
不去掉随机基址,加载基址就是不固定的,不方便操作
GetOptHeader(PeNewHmoudle)->DllCharacteristics &= (~0x40);
保存文件
void SaveFile(_In_ const char* path, _In_ const char* data, _In_ int FileSize) {HANDLE hFile = CreateFileA(path,GENERIC_WRITE,FILE_SHARE_READ,NULL,CREATE_ALWAYS,FILE_ATTRIBUTE_NORMAL,NULL);DWORD Buf = 0;WriteFile(hFile, data, FileSize, &Buf,NULL);CloseHandle(hFile);}
"如何从零开始写一个加壳器"的内容就介绍到这里了,感谢大家的阅读。如果想了解更多行业相关的知识可以关注网站,小编将为大家输出更多高质量的实用文章!