[系统安全] windows下C++编写第一个加壳程序
本文为笔者从零基础学习系统安全相关内容的笔记,如果您对系统安全、逆向分析等内容感兴趣或者想要了解一些内容,欢迎关注。本系列文章将会随着笔者在未来三年的读研过程中持续更新,由于笔者现阶段还处于初学阶段,不可避免参照复现各类书籍内容,如书籍作者认为侵权请告知,笔者将立刻删除。强调本系列所有内容仅作为学习研究使用,作者对此文章中的代码造成的任何后果不负法律责任。
前文链接
[系统安全] PE文件格式详解1
[系统安全] PE文件格式详解2
[系统安全] Windbg Preview调试记录
[系统安全]《黑客免杀攻防》MFC逆向基础实战
本篇文章参照《黑客免杀攻防》用C++写一个简单的加壳程序,在此基础上结合自己思路进行修改和补充,并完全删掉了MFC部分,将程序改成一个控制台应用程序。如书籍作者认为侵权请告知,笔者将立刻删除。
文章目录
- 加壳程序的框架概述
- 用C++写一个简单的加壳程序
-
- Stub内容编写
- 编写加壳部分
- 主程序的执行流程图示
- 加壳程序相关注意说明
- 项目源码
- 项目中的知识点总结
-
- stdafx.h和pch.h
- #pragma comment( comment-type [, "commentstring"] )
- __declspec(dllexport)和__declspec(dllexport)
- 字符串前面加L告诉编译器使用两个字节的unicode字符集
加壳程序的框架概述
加壳的过程是在加壳之前,先读取宿主程序的基本信息,并根据这些信息来对代码段、数据段及资源段进行有选择的加密压缩操作。
然后添加一个足够大的空区段,并将负责解密解压的代码(称为Stub部分或Shell部分)与相关配置信息写入这个新添加的空区段中。这段代码的功能是自动解密宿主程序,并在完成解密操作后转到宿主程序的原入口点处执行。
整个加壳程序执行过程图如下
![[系统安全] windows下C++编写第一个加壳程序_第1张图片](http://img.e-com-net.com/image/info8/f9fdb73cb8da4c71b9b17e338b5208e7.jpg)
主要注意的是我们需要把Stub这段代码合并到宿主程序,所以它需要有重定位表,由此推出这段程序需要被制作为dll程序。
用C++写一个简单的加壳程序
此程序只对宿主程序的代码段进行加密,并且只支持exe格式的文件,加密算法采用异或加密方式。
项目文件结构如下所示
![[系统安全] windows下C++编写第一个加壳程序_第2张图片](http://img.e-com-net.com/image/info8/3385bf1aec5046028dfbcc8da425b5d6.jpg)
Stub内容编写
首先编写最简单的Stub内容,将其制作为一个dll文件。根据上面图示,这个Stub的主要功能及执行流程为:读取被加密区域,进行解密,弹框知否执行,执行源程序。
但是最开始需要初始化一些基本的windows API,是因为把Stub这个dll拼接的时候会丢失导入表,所以最简单的方法是从内存中获取这些函数句柄。
Stub程序的的dllmain.cpp文件内编写制作的dll文件的主程序部分。
#include "Stub.h"
#pragma comment(linker, "/entry:\"StubEntryPoint\"") // 指定dll程序入口函数为StubEntryPoint()
#pragma comment(linker, "/merge:.data=.text") // 将.data合并到.text
#pragma comment(linker, "/merge:.rdata=.text") // 将.rdata合并到.text
#pragma comment(linker, "/section:.text,RWE") // 将.text段的属性设置为可读、可写、可执行
void start()
{
// 1. 初始化所有API
if (!InitializationAPI()) return;
// 2. 解密宿主程序
Decrypt();
// 3. 询问是否执行解密后的程序
if (g_stcParam.bShowMessage)
{
int nRet = g_funMessageBox(NULL, L"解密完成,是否运行原程序?", L"解密完成", MB_OKCANCEL);
if (IDCANCEL == nRet) return;
}
// 4. 跳转到OEP
__asm jmp g_stcParam.dwOEP;
}
void __declspec(naked) StubEntryPoint()
{
__asm sub esp, 0x50; // 抬高栈顶,提高兼容性
start(); // 执行壳的主体部分
__asm add esp, 0x50; // 平衡堆栈
// 主动调用ExitProcess函数退出进程可以解决一些兼容性问题
if (g_funExitProcess)
{
g_funExitProcess(0);
}
__asm retn;
}
Stub的其他内容不在此体现,放到资源里了。
编写好Stub部分后需要以资源的方式添加到PackLab项目里。
编写加壳部分
加壳部分分两个内容,一部分是处理PE文件即获取PE信息和修改PE文件等功能,另一部分就是调用这些函数进行流程上的PE文件改造。
首先是ProcessPE.h,主要封装了对于PE文件的处理函数。ProcessPE.cpp内容不在此体现。
#pragma once
#include 对与PackLab.h文件
#pragma once
#include "resource.h"
#include "ProcessPE.h"
#include main.cpp中编辑主程序
#include "PackLab.h"
#include 主程序的执行流程图示
![[系统安全] windows下C++编写第一个加壳程序_第3张图片](http://img.e-com-net.com/image/info8/f2336186a679478bb562f557ac45bc48.jpg)
加壳程序相关注意说明
为了简单起见,此加壳程序是将Stub这个dll以一个代码段的形式附加在宿主程序的最后一个节(区段)的最后面,如果宿主程序的最后一个节后面还有附加信息则会被默认覆盖从而可能产生一些错误,但是这里不考虑那些问题。
经过测试,此加壳程序对VS2010_MFC、VS2010_Console、VC++6和OD等可执行程序起作用,但是对VS2019编译生成的Console程序失败,猜测是编译器升级后导致不兼容错误。
项目源码
项目源码https://download.csdn.net/download/weixin_42172261/72291058
项目源码
项目中的知识点总结
stdafx.h和pch.h
stdafx.h是预编译头文件,其中可以包含标准系统包含文件和经常使用且不常更改的特定于项目的包含文件
头文件预编译,就是把一个工程中使用的一些标准头文件预先编译,
以后该工程编译时,不再编译这部分头文件,而是仅仅使用预编译的结果。
这样可以加快编译速度节省时间。
pch.h为previous compiled header的缩写
目前都是用pch.h代替stdafx.h,两者一样都是预编译头文件,只不过pch从名字上更清楚一些。
#pragma comment( comment-type [, “commentstring”] )
comment-type 是一个预定义的标识符,它指定了注释记录的类型。
可选 commentstring 是一个字符串,它提供了某些注释类型的附加信息。
#pragma comment(lib,“shlwapi.lib”)表示链接shlwapi.lib这个库。
和在工程设置里写上链入shlwapi.lib的效果一样,不过这种方法写的
程序别人在使用你的代码的时候就不用再设置工程settings了
shlwapi.lib文件,包含了大量的Windows字符串处理方法
__declspec(dllexport)和__declspec(dllexport)
extern "C"的主要作用就是为了能够正确实现C++代码调用其他C语言代码。加上extern "C"后,会指示编译器这部分代码按C语言的进行编译,而不是C++的。由于C++支持函数重载,因此编译器编译函数的过程中会将函数的参数类型也加到编译后的代码中,而不仅仅是函数名;而C语言并不支持函数重载,因此编译C语言代码的函数时不会带上函数的参数类型,一般之包括函数名。
__declspec(dllexport)是导出dll中的变量或方法
__declspec(dllexport)是引入dll中的变量或方法