简单的EXE外壳,只有 初级的功能,壳子程序是一段ShellCode,会弹出来一个消息框,可以处理一下做一个exe的加密工具;也可以该吧改吧,做一个完善的壳子。
《加密与解密(第三版)》中的壳子是用汇编写的,没写过几行汇编,所以就用C实现了,开始加完壳子不能运行,用X64dbg调了半个小时才找到。志同道合的朋友如果需要可以拿去使用。不说废话,上代码。
加壳程序:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200 201 202 203 204 205 206 207 208 209 210 211 212 213 214 215 216 217 218 219 220 221 222 223 224 225 226 227 228 229 230 231 232 233 234 235 236 237 238 239 240 241 242 243 244 245 246 247 248 249 250 251 252 253 254 255 256 257 258 259 260 261 262 263 264 265 266 267 268 269 270 271 272 273 274 275 276 277 278 279 280 281 282 283 284 285 286 287 288 289 290 291 292 293 294 295 296 297 298 299 300 301 302 303 304 305 306 307 308 309 310 311 312 313 314 315 316 317 318 319 320 321 322 323 324 325 326 327 328 329 330 331 332 333 334 335 336 337 338 339 340 341 |
/* * Copyright (c) 2018 initm.com All rights reserved. * 作者: 梦回起点 * 功能: 软件加壳 * 邮件: i@initm.com * 描述: 软件加壳,并为加壳后的软件增加一个消息框 * 限制: 1.目前只有保护导入表的功能 * 2.只能加密32位exe文件 * 3.只能处理节表有空余位置的文件 * 声明:1.水能载舟,亦能覆舟。这段代码改一下就是一个EXE加密工具、外壳;同样加点功能也会变成木马、病毒。我劝你善良 * 2.代码可以在注明出处的情况下无条件复制,传播。 * 完成时间: 2018-10-10 10:18 */ /* // 存放壳子运行需要数据及保存的导入表和重定位表的信息等 存放ShellCode尾部,相当于从end函数的地方开始写 // 保存当前镜像的基地址 */ ///////////////////////////ShellCode 在这里//////////////////////// // DWORD pImageBase ;这个镜像基址因为只加密exe所以没啥用。dll重定位需要使用,但是没做这个功能 // DWORD nOEP ;原来程序的入口点 // DWORD nImportNowRVA ;现在导入表的RVA 就是原区段最后的rva+shellcode的大小+sizeof(DWORD)*4 // DWORD nImportRVA ;这个是原来的导入表的RVA // 壳子导入表的存储结构复制的《加密与解密(第三版)》中的那个结构 // ImportTable DD AddressFirst - ImportTable; OriginalFirstThunk // DD 0, 0; TimeDataStamp, ForwardChain // AppImpRVA1 DD DllName - ImportTable; Name // AppImpRVA2 DD AddressFirst - ImportTable; FirstThunk // DD 0, 0, 0, 0, 0 // AddressFirst DD FirstFunc - ImportTable; 指向IMAGE_tHUNK_DATA // AddressSecond DD SecondFunc - ImportTable; 指向IMAGE_tHUNK_DATA // AddressThird DD ThirdFunc - ImportTable; 指向IMAGE_tHUNK_DATA // DD 0 // DllName DB 'KERNEL32.dll' // DW 0 // FirstFunc DW 0 // DB 'GetProcAddress', 0 // SecondFunc DW 0 // DB 'GetModuleHandleA', 0 // ThirdFunc DW 0 // DB 'LoadLibraryA', 0 // ImportTableEnd LABEL DWORD // 原来的导入表结构如下 // |(PDWORD)FirstThunk|(PDWORD)functionCount|(PBYTE)dllName or (PDWORD) number|(PBYTE)functionName(...X functionCount)|(PDWORD)FirstThunk|... #include "stdafx.h" #include <windows.h> #include <new> //这里就是ShellCode的代码编译出来的硬编码,这个只是加壳 PCHAR ShellCode = "\x55\x8B\xEC\xE8\x08\x00\x00\x00\x5D\xC3\xCC\xCC\xCC\xCC\xCC\xCC\x55\x8B\xEC\x83\xEC\x0C\xC7\x45\xFC\x00\x00\x00\x00\x8D\x45\xFC\x89\x45\xFC\x8B\x4D\xFC\x83\xC1\x08\x89\x4D\xFC\x8B\x55\xFC\x8B\x02\x83\xE8\x08\x89\x45\xFC\xB9\x10\x10\x1F\x00\x81\xE9\x00\x10\x1F\x00\x03\x4D\xFC\x89\x4D\xFC\xBA\xA0\x12\x1F\x00\x81\xEA\x10\x10\x1F\x00\x03\x55\xFC\x89\x55\xF8\x8B\x45\xF8\x50\xB9\xB0\x10\x1F\x00\x81\xE9\x10\x10\x1F\x00\x03\x4D\xFC\x51\xE8\x3F\x00\x00\x00\x83\xC4\x08\x89\x45\xF4\xFF\x55\xF4\x8B\xE5\x5D\xC3\xCC\xCC\x55\x8B\xEC\x51\xC7\x45\xFC\x00\x00\x00\x00\x8B\x45\x08\x03\x45\xFC\x0F\xBE\x08\x85\xC9\x74\x0B\x8B\x55\xFC\x83\xC2\x01\x89\x55\xFC\xEB\xE8\x8B\x45\xFC\x8B\xE5\x5D\xC3\xCC\xCC\xCC\xCC\xCC\xCC\x55\x8B\xEC\x83\xEC\x3C\x8B\x45\x0C\x83\xC0\x10\x89\x45\xD4\x8B\x4D\xD4\x83\xC1\x28\x89\x4D\xE8\xBA\x04\x00\x00\x00\x6B\xC2\x00\x8B\x4D\xE8\x8B\x14\x01\x89\x55\xD8\xB8\x04\x00\x00\x00\xC1\xE0\x00\x8B\x4D\xE8\x8B\x14\x01\x89\x55\xD0\xB8\x04\x00\x00\x00\xD1\xE0\x8B\x4D\xE8\x8B\x14\x01\x89\x55\xC8\x6A\x00\xFF\x55\xD0\x89\x45\xEC\x8B\x45\x0C\x8B\x48\x04\x89\x4D\xC4\x8B\x55\x0C\x8B\x45\xEC\x03\x42\x08\x89\x45\xFC\x8B\x4D\x0C\x8B\x55\xEC\x03\x51\x0C\x89\x55\xF0\xC7\x45\xF8\x00\x00\x00\x00\x8B\x45\xFC\x83\x38\x00\x0F\x84\x5D\x01\x00\x00\x6B\x4D\xF8\x14\x8B\x55\xF0\x8B\x45\xFC\x8B\x00\x89\x44\x0A\x10\x6B\x4D\xF8\x14\x8B\x55\xF0\x8B\x45\xEC\x03\x44\x0A\x10\x89\x45\xDC\x8B\x4D\xFC\x8B\x51\x04\x89\x55\xCC\x6B\x45\xF8\x14\x8B\x4D\xF0\xC7\x44\x01\x04\x00\x00\x00\x00\x6B\x55\xF8\x14\x8B\x45\xF0\xC7\x44\x10\x08\x00\x00\x00\x00\x8B\x4D\xFC\x83\xC1\x08\x89\x4D\xE4\x8B\x55\xE4\x2B\x55\xEC\x6B\x45\xF8\x14\x8B\x4D\xF0\x89\x54\x01\x0C\x8B\x55\xE4\x52\xE8\xDF\xFE\xFF\xFF\x83\xC4\x04\x8B\x4D\xFC\x8D\x54\x01\x09\x89\x55\xFC\xC7\x45\xF4\x00\x00\x00\x00\xEB\x09\x8B\x45\xF4\x83\xC0\x01\x89\x45\xF4\x8B\x4D\xF4\x3B\x4D\xCC\x0F\x8D\xB9\x00\x00\x00\x8B\x55\xE4\x52\xFF\x55\xC8\x89\x45\xE0\x83\x7D\xE0\x00\x74\x65\x8B\x45\xFC\x8B\x08\x81\xE1\x00\x00\x00\xF0\x81\xF9\x00\x00\x00\xF0\x75\x26\x8B\x55\xFC\x8B\x02\x25\xFF\xFF\xFF\x0F\x50\x8B\x4D\xE0\x51\xFF\x55\xD8\x8B\x55\xF4\x8B\x4D\xDC\x89\x04\x91\x8B\x55\xFC\x83\xC2\x04\x89\x55\xFC\xEB\x2A\x8B\x45\xFC\x50\x8B\x4D\xE0\x51\xFF\x55\xD8\x8B\x55\xF4\x8B\x4D\xDC\x89\x04\x91\x8B\x55\xFC\x52\xE8\x4E\xFE\xFF\xFF\x83\xC4\x04\x8B\x4D\xFC\x8D\x54\x01\x01\x89\x55\xFC\xEB\x3F\x8B\x45\xF4\x8B\x4D\xDC\xC7\x04\x81\x00\x00\x00\x00\x8B\x55\xFC\x8B\x02\x25\x00\x00\x00\xF0\x3D\x00\x00\x00\xF0\x75\x0B\x8B\x4D\xFC\x83\xC1\x04\x89\x4D\xFC\xEB\x16\x8B\x55\xFC\x52\xE8\x0D\xFE\xFF\xFF\x83\xC4\x04\x8B\x4D\xFC\x8D\x54\x01\x01\x89\x55\xFC\xE9\x32\xFF\xFF\xFF\x8B\x45\xF8\x83\xC0\x01\x89\x45\xF8\xE9\x97\xFE\xFF\xFF\x8B\x45\xEC\x03\x45\xC4\x8B\xE5\x5D\xC3\xCC\xCC\xCC"; //这个可以弹出一个MessageBox,ShellCode中的代码对应的就是这个 PCHAR ShellCodeMessage = "\x55\x8B\xEC\xE8\x08\x00\x00\x00\x5D\xC3\xCC\xCC\xCC\xCC\xCC\xCC\x55\x8B\xEC\x83\xEC\x0C\xC7\x45\xFC\x00\x00\x00\x00\x8D\x45\xFC\x89\x45\xFC\x8B\x4D\xFC\x83\xC1\x08\x89\x4D\xFC\x8B\x55\xFC\x8B\x02\x83\xE8\x08\x89\x45\xFC\xB9\x10\x10\x38\x01\x81\xE9\x00\x10\x38\x01\x03\x4D\xFC\x89\x4D\xFC\xBA\x40\x13\x38\x01\x81\xEA\x10\x10\x38\x01\x03\x55\xFC\x89\x55\xF8\x8B\x45\xF8\x50\xB9\xB0\x10\x38\x01\x81\xE9\x10\x10\x38\x01\x03\x4D\xFC\x51\xE8\x3F\x00\x00\x00\x83\xC4\x08\x89\x45\xF4\xFF\x55\xF4\x8B\xE5\x5D\xC3\xCC\xCC\x55\x8B\xEC\x51\xC7\x45\xFC\x00\x00\x00\x00\x8B\x45\x08\x03\x45\xFC\x0F\xBE\x08\x85\xC9\x74\x0B\x8B\x55\xFC\x83\xC2\x01\x89\x55\xFC\xEB\xE8\x8B\x45\xFC\x8B\xE5\x5D\xC3\xCC\xCC\xCC\xCC\xCC\xCC\x55\x8B\xEC\x83\xEC\x64\x8B\x45\x0C\x83\xC0\x10\x89\x45\xD0\x8B\x4D\xD0\x83\xC1\x28\x89\x4D\xE8\xBA\x04\x00\x00\x00\x6B\xC2\x00\x8B\x4D\xE8\x8B\x14\x01\x89\x55\xDC\xB8\x04\x00\x00\x00\xC1\xE0\x00\x8B\x4D\xE8\x8B\x14\x01\x89\x55\xCC\xB8\x04\x00\x00\x00\xD1\xE0\x8B\x4D\xE8\x8B\x14\x01\x89\x55\xD4\x6A\x00\xFF\x55\xCC\x89\x45\xEC\xC6\x45\xA8\x55\xC6\x45\xA9\x73\xC6\x45\xAA\x65\xC6\x45\xAB\x72\xC6\x45\xAC\x33\xC6\x45\xAD\x32\xC6\x45\xAE\x2E\xC6\x45\xAF\x64\xC6\x45\xB0\x6C\xC6\x45\xB1\x6C\xC6\x45\xB2\x00\xC6\x45\x9C\x4D\xC6\x45\x9D\x65\xC6\x45\x9E\x73\xC6\x45\x9F\x73\xC6\x45\xA0\x61\xC6\x45\xA1\x67\xC6\x45\xA2\x65\xC6\x45\xA3\x42\xC6\x45\xA4\x6F\xC6\x45\xA5\x78\xC6\x45\xA6\x41\xC6\x45\xA7\x00\x8D\x45\xA8\x50\xFF\x55\xD4\x89\x45\xC8\x8D\x4D\x9C\x51\x8B\x55\xC8\x52\xFF\x55\xDC\x89\x45\xC4\xC6\x45\xB4\x48\xC6\x45\xB5\x65\xC6\x45\xB6\x6C\xC6\x45\xB7\x6C\xC6\x45\xB8\x6F\xC6\x45\xB9\x00\x6A\x00\x8D\x45\xB4\x50\x8D\x4D\xB4\x51\x6A\x00\xFF\x55\xC4\x8B\x55\x0C\x8B\x42\x04\x89\x45\xBC\x8B\x4D\x0C\x8B\x55\xEC\x03\x51\x08\x89\x55\xFC\x8B\x45\x0C\x8B\x4D\xEC\x03\x48\x0C\x89\x4D\xF0\xC7\x45\xF8\x00\x00\x00\x00\x8B\x55\xFC\x83\x3A\x00\x0F\x84\x5E\x01\x00\x00\x6B\x45\xF8\x14\x8B\x4D\xF0\x8B\x55\xFC\x8B\x12\x89\x54\x01\x10\x6B\x45\xF8\x14\x8B\x4D\xF0\x8B\x55\xEC\x03\x54\x01\x10\x89\x55\xD8\x8B\x45\xFC\x8B\x48\x04\x89\x4D\xC0\x6B\x55\xF8\x14\x8B\x45\xF0\xC7\x44\x10\x04\x00\x00\x00\x00\x6B\x4D\xF8\x14\x8B\x55\xF0\xC7\x44\x0A\x08\x00\x00\x00\x00\x8B\x45\xFC\x83\xC0\x08\x89\x45\xE4\x8B\x4D\xE4\x2B\x4D\xEC\x6B\x55\xF8\x14\x8B\x45\xF0\x89\x4C\x10\x0C\x8B\x4D\xE4\x51\xE8\x44\xFE\xFF\xFF\x83\xC4\x04\x8B\x55\xFC\x8D\x44\x02\x09\x89\x45\xFC\xC7\x45\xF4\x00\x00\x00\x00\xEB\x09\x8B\x4D\xF4\x83\xC1\x01\x89\x4D\xF4\x8B\x55\xF4\x3B\x55\xC0\x0F\x8D\xBA\x00\x00\x00\x8B\x45\xE4\x50\xFF\x55\xD4\x89\x45\xE0\x83\x7D\xE0\x00\x74\x66\x8B\x4D\xFC\x8B\x11\x81\xE2\x00\x00\x00\xF0\x81\xFA\x00\x00\x00\xF0\x75\x27\x8B\x45\xFC\x8B\x08\x81\xE1\xFF\xFF\xFF\x0F\x51\x8B\x55\xE0\x52\xFF\x55\xDC\x8B\x4D\xF4\x8B\x55\xD8\x89\x04\x8A\x8B\x45\xFC\x83\xC0\x04\x89\x45\xFC\xEB\x2A\x8B\x4D\xFC\x51\x8B\x55\xE0\x52\xFF\x55\xDC\x8B\x4D\xF4\x8B\x55\xD8\x89\x04\x8A\x8B\x45\xFC\x50\xE8\xB2\xFD\xFF\xFF\x83\xC4\x04\x8B\x4D\xFC\x8D\x54\x01\x01\x89\x55\xFC\xEB\x3F\x8B\x45\xF4\x8B\x4D\xD8\xC7\x04\x81\x00\x00\x00\x00\x8B\x55\xFC\x8B\x02\x25\x00\x00\x00\xF0\x3D\x00\x00\x00\xF0\x75\x0B\x8B\x4D\xFC\x83\xC1\x04\x89\x4D\xFC\xEB\x16\x8B\x55\xFC\x52\xE8\x71\xFD\xFF\xFF\x83\xC4\x04\x8B\x4D\xFC\x8D\x54\x01\x01\x89\x55\xFC\xE9\x31\xFF\xFF\xFF\x8B\x45\xF8\x83\xC0\x01\x89\x45\xF8\xE9\x96\xFE\xFF\xFF\x8B\x45\xEC\x03\x45\xBC\x8B\xE5\x5D\xC3\xCC\xCC\xCC\xCC\xCC\xCC\xCC"; //两段ShellCode各自的字节数 #define SHELLCODESIZE 672 #define SHELLCODEMESSAGESIZE 832 //对齐 size_t AlignSize(const size_t& size, const DWORD& align) { return (size + align - 1) / align * align; } //转换一个rva到指针 PCHAR RVA2Ptr(PCHAR pHeader, const DWORD& rva) { return pHeader + rva; } /*******************************************************************************/ /* ImportSaveAndClear用来保存并清空原来的导入表 */ /* |(PDWORD)FirstThunk|(PDWORD)functionCount|(PBYTE)dllName|(PBYTE)functionName*/ /* char* pBuffer 存放这个结构的地址 */ /* PIMAGE_IMPORT_DESCRIPTOR pImport 程序导入表的地址 */ /* char* lpHeader 文件内存中展开的首地址 */ /*******************************************************************************/ size_t ImportSaveAndClear(PCHAR pBuffer, PIMAGE_IMPORT_DESCRIPTOR pImport, PCHAR lpHeader) { IMAGE_IMPORT_DESCRIPTOR empty; memset(&empty, 0, sizeof(empty)); PCHAR pBackBuffer = pBuffer; //如果是最后一个了,那么返回 while (0 != memcmp(pImport, &empty, sizeof(empty))){ //保存FristThunk *(PDWORD)pBuffer = pImport->FirstThunk; pBuffer += sizeof(DWORD); //保存函数的个数 PDWORD pCount = (PDWORD)pBuffer; pBuffer += sizeof(DWORD); //保存dll名字 PCHAR name = (PCHAR)RVA2Ptr(lpHeader, pImport->Name); memcpy(pBuffer, name, strlen(name)); pBuffer += strlen(name) + 1; PIMAGE_THUNK_DATA pIAT = (PIMAGE_THUNK_DATA)RVA2Ptr(lpHeader, pImport->FirstThunk); int nCount(0); for (nCount; pIAT->u1.AddressOfData; nCount++, pIAT++) { if (pIAT->u1.AddressOfData & (0x1 << 31)) {//如果是按照编号导出的 *(PDWORD)(pBuffer) = pIAT->u1.AddressOfData | 0xF0000000; pBuffer += sizeof(DWORD); } else { PIMAGE_IMPORT_BY_NAME name = (PIMAGE_IMPORT_BY_NAME)RVA2Ptr(lpHeader, pIAT->u1.AddressOfData); memset(pIAT, 0, sizeof(IMAGE_THUNK_DATA)); memcpy(pBuffer, name->Name, strlen((LPCSTR)name->Name)); pBuffer += strlen((LPCSTR)name->Name) + 1; memset(name, 0, sizeof(IMAGE_IMPORT_BY_NAME) + strlen((LPCSTR)name->Name)); } } *pCount = nCount;//写入这个dll一共有多少个函数 memset(pImport, 0, sizeof(IMAGE_IMPORT_DESCRIPTOR)); pImport++; } (*(PDWORD)pBuffer) = 0;//写入一个结尾的标记 pBuffer += sizeof(DWORD); return pBuffer - pBackBuffer; } /*******************************************************************************/ /* AddSection用来增加一个新节 */ /* 没有考虑节表位置不够的情况,这种情况需要特殊处理的 */ /* PIMAGE_SECTION_HEADER pImport 需要插入位置的地址 */ /* DWORD size 需要插入的节的大小 */ /* DWORD rva内存中的偏移位置 */ /* DWORD rvaAlign内存中的对齐大小 */ /* DWORD foa文件中的偏移位置 */ /* DWORD fileAlign文件炸的对齐大小 */ /*******************************************************************************/ DWORD AddSection(PIMAGE_SECTION_HEADER pImport, DWORD size, DWORD rva, DWORD rvaAlign, DWORD foa, DWORD fileAlign) {//增加一个空余的节,如果没有地方,那么返回失败,这个可以修改的,可以合并现有节的,但是时间有限,不实现了 IMAGE_SECTION_HEADER empty; memset(&empty, 0, sizeof(IMAGE_SECTION_HEADER)); //如果找到空余的段 if (0 != memcmp(&pImport[1], &empty, sizeof(IMAGE_SECTION_HEADER))) { return 0; } pImport->Name[0] = 0; pImport->Characteristics = IMAGE_SCN_CNT_INITIALIZED_DATA | IMAGE_SCN_MEM_READ | IMAGE_SCN_MEM_WRITE | IMAGE_SCN_MEM_EXECUTE; pImport->SizeOfRawData = AlignSize(size, fileAlign); pImport->PointerToRawData = foa; pImport->Misc.VirtualSize = AlignSize(size, rvaAlign); pImport->VirtualAddress = rva; return pImport->Misc.VirtualSize; } /*******************************************************************************/ /* AddShell主功能函数 */ /*PCHAR szName 需要加壳的文件 */ /*******************************************************************************/ void AddShell(PCHAR szName) { char tail[409600]; size_t nShellImportSize(0); PCHAR lpSaveData(nullptr); size_t nSaveDataSize(0); memset(tail, 0, sizeof(tail));//用来存放构造的尾部数据 //读取文件信息,EntryPoint,ImageBase DWORD nShellCodeSize(SHELLCODEMESSAGESIZE); //把ShellCode先读出来 memcpy(tail, ShellCodeMessage, nShellCodeSize); PDWORD pImageBase = (PDWORD)&tail[nShellCodeSize]; PDWORD pEntryPoint = (PDWORD)&tail[nShellCodeSize + sizeof(DWORD)]; //现在变形的导入表的RVA PDWORD pImportNowRVA = (PDWORD)&tail[nShellCodeSize + sizeof(DWORD) * 2]; //原来导入表的RVA PDWORD pImportRVA = (PDWORD)&tail[nShellCodeSize + sizeof(DWORD) * 3]; HANDLE hFile = CreateFileA(szName, GENERIC_READ|GENERIC_WRITE, 0, 0, OPEN_EXISTING, 0, 0); if (INVALID_HANDLE_VALUE == hFile) {//打开文件失败 return; } size_t nFileSize = GetFileSize(hFile, NULL); IMAGE_DOS_HEADER dosHeader; DWORD dwSize(0); if (!ReadFile(hFile, &dosHeader, sizeof(dosHeader), &dwSize, NULL)) { CloseHandle(hFile); return; } if (IMAGE_DOS_SIGNATURE != dosHeader.e_magic) { CloseHandle(hFile); return; } SetFilePointer(hFile, dosHeader.e_lfanew, 0, FILE_BEGIN); IMAGE_NT_HEADERS ntHeader; if (!ReadFile(hFile, &ntHeader, sizeof(ntHeader), &dwSize, NULL)) { CloseHandle(hFile); return; } if (IMAGE_NT_SIGNATURE != ntHeader.Signature) { CloseHandle(hFile); return; } *pImageBase = ntHeader.OptionalHeader.ImageBase; *pEntryPoint = ntHeader.OptionalHeader.AddressOfEntryPoint; SetFilePointer(hFile, 0, 0, FILE_BEGIN); //读出PE头 PCHAR lpBuffer = new CHAR[ntHeader.OptionalHeader.SizeOfImage]; ReadFile(hFile, lpBuffer, ntHeader.OptionalHeader.SizeOfHeaders, &dwSize, NULL); PIMAGE_NT_HEADERS pNtHeader((PIMAGE_NT_HEADERS)(lpBuffer + dosHeader.e_lfanew)); PIMAGE_SECTION_HEADER pSectionTable((PIMAGE_SECTION_HEADER)((PBYTE)pNtHeader + + sizeof(ntHeader.Signature) + sizeof(ntHeader.FileHeader) + ntHeader.FileHeader.SizeOfOptionalHeader)); //处理节表 size_t nSectionCount(pNtHeader->FileHeader.NumberOfSections); for (size_t i = 0; i < nSectionCount; i++) { pSectionTable[i].SizeOfRawData = AlignSize(pSectionTable[i].SizeOfRawData, pNtHeader->OptionalHeader.FileAlignment); pSectionTable[i].Misc.VirtualSize = AlignSize(pSectionTable[i].Misc.VirtualSize, pNtHeader->OptionalHeader.SectionAlignment); pSectionTable[i].Characteristics |= IMAGE_SCN_MEM_WRITE; pSectionTable[i].Characteristics &= ~IMAGE_SCN_MEM_SHARED; if (pNtHeader->FileHeader.NumberOfSections - 1 == i && pSectionTable[i].VirtualAddress + pSectionTable[i].SizeOfRawData > pNtHeader->OptionalHeader.SizeOfImage) { pSectionTable[i].SizeOfRawData = pNtHeader->OptionalHeader.SizeOfImage - pSectionTable[i].VirtualAddress; } SetFilePointer(hFile, pSectionTable[i].PointerToRawData, 0, FILE_BEGIN); //读取所有的节数据 ReadFile(hFile, &lpBuffer[pSectionTable[i].VirtualAddress], pSectionTable[i].SizeOfRawData, &dwSize, 0); } //如果最后有数据 size_t nSecitonAllSizeFile = pSectionTable[nSectionCount - 1].SizeOfRawData + pSectionTable[nSectionCount - 1].PointerToRawData; size_t nSecitonAllSize = pSectionTable[nSectionCount - 1].VirtualAddress + pSectionTable[nSectionCount - 1].Misc.VirtualSize; if (nSecitonAllSizeFile < nFileSize) { nSaveDataSize = nFileSize - nSecitonAllSizeFile; lpSaveData = new char[nSaveDataSize]; SetFilePointer(hFile, nSecitonAllSizeFile, 0, FILE_BEGIN); //读取文件数据 ReadFile(hFile, lpSaveData, nSaveDataSize, &dwSize, 0); } //获取导入表数据,构造自己的结构,清除现在的导入表,写入导入表 PIMAGE_IMPORT_DESCRIPTOR pImportTable = (PIMAGE_IMPORT_DESCRIPTOR)RVA2Ptr(lpBuffer, pNtHeader->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress); *pImportRVA = pNtHeader->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress; //把原来导入表的数据放进来,写这段的时候太痛苦了,纯体力劳动 PBYTE pShellImportTable = (PBYTE)&tail[nShellCodeSize + sizeof(DWORD) * 4]; {//构造壳子的导入表 PBYTE pPointer = pShellImportTable; //把导入表的RVA存起来 *pImportNowRVA = nSecitonAllSize + nShellCodeSize + sizeof(DWORD) * 4; //AddressFirst DWORD AddressFirstRVA = *(PDWORD)pPointer = *pImportNowRVA + sizeof(IMAGE_IMPORT_DESCRIPTOR) * 2; pPointer += sizeof(DWORD); //TimeDataStamp *(PDWORD)pPointer = 0; pPointer += sizeof(DWORD); //ForwardChain *(PDWORD)pPointer = 0; pPointer += sizeof(DWORD); //DllName *(PDWORD)pPointer = AddressFirstRVA + sizeof(IMAGE_THUNK_DATA)*4; pPointer += sizeof(DWORD); //FirstThunk *(PDWORD)pPointer = AddressFirstRVA; pPointer += sizeof(DWORD); memset(pPointer, 0, sizeof(IMAGE_IMPORT_DESCRIPTOR)); pPointer += sizeof(IMAGE_IMPORT_DESCRIPTOR); //IMAGE_tHUNK_DATA-FirstFunc ((PIMAGE_THUNK_DATA)pPointer)[0].u1.AddressOfData = AddressFirstRVA + sizeof(IMAGE_THUNK_DATA) * 4 + strlen("KERNEL32.dll") + 3; ((PIMAGE_THUNK_DATA)pPointer)[1].u1.AddressOfData = ((PDWORD)pPointer)[0] + strlen("GetProcAddress") + 1 + sizeof(WORD); ((PIMAGE_THUNK_DATA)pPointer)[2].u1.AddressOfData = ((PDWORD)pPointer)[1] + strlen("GetModuleHandleA") + 1 + sizeof(WORD); ((PIMAGE_THUNK_DATA)pPointer)[3].u1.AddressOfData = 0; pPointer += sizeof(IMAGE_THUNK_DATA) * 4; memcpy(pPointer, "KERNEL32.dll", strlen("KERNEL32.dll") + 1); pPointer += strlen("KERNEL32.dll") + 3; //IMAGE_IMPORT_BY_NAME ((PIMAGE_IMPORT_BY_NAME)pPointer)->Hint = 0; memcpy(&((PIMAGE_IMPORT_BY_NAME)pPointer)->Name, "GetProcAddress", strlen("GetProcAddress")+1); pPointer += sizeof(((PIMAGE_IMPORT_BY_NAME)pPointer)->Hint) + strlen("GetProcAddress") + 1; ((PIMAGE_IMPORT_BY_NAME)pPointer)->Hint = 0; memcpy(&((PIMAGE_IMPORT_BY_NAME)pPointer)->Name, "GetModuleHandleA", strlen("GetModuleHandleA") + 1); pPointer += sizeof(((PIMAGE_IMPORT_BY_NAME)pPointer)->Hint) + strlen("GetModuleHandleA") + 1; ((PIMAGE_IMPORT_BY_NAME)pPointer)->Hint = 0; memcpy(&((PIMAGE_IMPORT_BY_NAME)pPointer)->Name, "LoadLibraryA", strlen("LoadLibraryA") + 1); pPointer += sizeof(((PIMAGE_IMPORT_BY_NAME)pPointer)->Hint) + strlen("LoadLibraryA") + 1; nShellImportSize = pPointer - pShellImportTable; *pImportNowRVA += nShellImportSize; //printf("%d", nShellImportSize); } size_t ImportSize = ImportSaveAndClear(&tail[nShellCodeSize + sizeof(DWORD) * 4 + nShellImportSize], pImportTable, lpBuffer); //增加一个节,将ShellCode和尾部数据填入 size_t nAddSectionSize = nShellCodeSize + sizeof(DWORD) * 4 + nShellImportSize + ImportSize; size_t sectionSize = AddSection(&pSectionTable[nSectionCount], nAddSectionSize, nSecitonAllSize, pNtHeader->OptionalHeader.SectionAlignment, nSecitonAllSizeFile, pNtHeader->OptionalHeader.FileAlignment); if (0 == sectionSize) {//如果添加节失败了,那么返回 CloseHandle(hFile); delete lpBuffer; delete lpSaveData; return; } //修改入口点,镜像大小 pNtHeader->OptionalHeader.AddressOfEntryPoint = nSecitonAllSize; pNtHeader->OptionalHeader.SizeOfImage = pNtHeader->OptionalHeader.SizeOfImage + sectionSize; pNtHeader->OptionalHeader.SizeOfHeaders = AlignSize((char*)&pSectionTable[nSectionCount+1] - lpBuffer, ntHeader.OptionalHeader.FileAlignment); pNtHeader->FileHeader.NumberOfSections += 1; pNtHeader->OptionalHeader.BaseOfCode = nSecitonAllSize; pNtHeader->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].Size = nShellImportSize; pNtHeader->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress = nSecitonAllSize + nShellCodeSize + sizeof(DWORD) * 4; //把这个文件写入 //把文件原来的文件清空 SetFilePointer(hFile, 0, 0, FILE_BEGIN); SetEndOfFile(hFile); //写入头部 WriteFile(hFile, lpBuffer, pNtHeader->OptionalHeader.SizeOfHeaders, &dwSize, 0); //写入各个区段信息 for (int i = 0; i < pNtHeader->FileHeader.NumberOfSections - 1; i++) { SetFilePointer(hFile, pSectionTable[i].PointerToRawData, 0, FILE_BEGIN); WriteFile(hFile, RVA2Ptr(lpBuffer, pSectionTable[i].VirtualAddress), pSectionTable[i].SizeOfRawData, &dwSize, 0); } SetFilePointer(hFile, pSectionTable[pNtHeader->FileHeader.NumberOfSections - 1].PointerToRawData, 0, FILE_BEGIN); WriteFile(hFile, tail, pSectionTable[pNtHeader->FileHeader.NumberOfSections - 1].SizeOfRawData, &dwSize, 0); //写入尾部信息 if (nSaveDataSize) { SetFilePointer(hFile, 0, 0, FILE_END); WriteFile(hFile, lpSaveData, nSaveDataSize, &dwSize, 0); } CloseHandle(hFile); delete lpBuffer; delete lpSaveData; } int main(int argc, char* argv[]) { if (argc < 2) { printf("请拖动需要加密的文件到本文件上"); getchar(); return 0; } try{ AddShell(argv[1]); } catch (std::bad_alloc) { printf("内存不足"); } return 0; } |
壳子程序:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 |
/* * Copyright (c) 2018 initm.com All rights reserved. * 作者: 梦回起点 * 功能: 软件加壳 * 邮件: i@initm.com * 描述: 软件加壳,并为加壳后的软件增加一个消息框 * 限制: 1.目前只有保护导入表的功能 * 2.只能加密32位exe文件 * 3.只能处理节表有空余位置的文件 * 声明:1.水能载舟,亦能覆舟。这段代码改一下就是一个EXE加密工具、外壳;同样加点功能也会变成木马、病毒。我劝你善良 * 2.代码可以在注明出处的情况下无条件复制,传播。 * 完成时间: 2018-10-10 10:18 */ #include "stdafx.h" #include <windows.h> void Work(); PBYTE Restore(PBYTE pThisFunction, PBYTE pData); void End(); typedef int (WINAPI *TMessageBoxA)( _In_opt_ HWND hWnd, _In_opt_ LPCSTR lpText, _In_opt_ LPCSTR lpCaption, _In_ UINT uType); typedef HMODULE(WINAPI* TGetModuleHandleA)(_In_opt_ LPCSTR lpModuleName); typedef FARPROC(WINAPI* TGetProcAddress)(__in HMODULE hModule, __in LPCSTR lpProcName); typedef HMODULE (WINAPI* TLoadLibraryA)(__in LPCSTR lpLibFileName); /////////////////////////////////ShellCode Start///////////////////////////////// void Start() { //push ebp //mov ebp, esp Work();//这里得先call一下,否则算不出来函数的地址 //ret addr } /* // 一般情况下,函数调用后栈中的情况是这个样子的,利用这个结构可以获取到返回地址,进而获取函数首地址 // ebp-4 第一个变量 // ebp-> old ebp // ret addr // args */ void Work() { /* * 这里这么复杂主要是为了获取本函数的地址和数据的地址 * 第一个DWORD长度的空间存放ImageBase,就可以根据ImageBase来获取函数了 */ /*pThisFunction 在ebp-4的位置,这里根据编译器不同可能会不同*/ PBYTE pThisFunction = nullptr; pThisFunction = (PBYTE)&pThisFunction; pThisFunction += 8;/*现在指向的是返回地址*/ /*8是 push ebp mov ebp, esp call ?Work@@YAXXZ 三条指令的长度*/ pThisFunction = (PBYTE)(*(PDWORD)pThisFunction) - 8;/*start的地址*/ pThisFunction = pThisFunction + (DWORD)((PBYTE)Work - (PBYTE)Start);/*这里就是本函数的地址了*/ PBYTE pData = pThisFunction + ((DWORD)End - (DWORD)Work);/*这里指向数据了,数据的格式需要定义*/ //解密恢复原来的数据,返回入口点 void(__stdcall * pEntryPoint)() = (void(__stdcall*)())Restore(pThisFunction + ((DWORD)Restore - (DWORD)Work), pData); //调用入口点 pEntryPoint(); } size_t MyStrlen(PCHAR str) { int i = 0; //找0 while (str[i]) { i++; } return i; } PBYTE Restore(PBYTE pThisFunction, PBYTE pData) { //现在的导入表 获取当前程序运行时候的导入表 PIMAGE_IMPORT_DESCRIPTOR pImageTable = (PIMAGE_IMPORT_DESCRIPTOR)((PDWORD)pData + 4); PDWORD pImportFunctionAddr = (PDWORD)(pImageTable + 2);//这里就是导入函数的地址,因为是3个函数,所以一共占有4个DWORD TGetProcAddress pGetProcAddress = (TGetProcAddress)pImportFunctionAddr[0]; TGetModuleHandleA pGetModuleHandleA= (TGetModuleHandleA)pImportFunctionAddr[1]; TLoadLibraryA pLoadLibraryA = (TLoadLibraryA)pImportFunctionAddr[2]; //获取镜像的基地址 PBYTE pImageBase = (PBYTE)pGetModuleHandleA(NULL); CHAR szUser32[] = {'U', 's', 'e', 'r', '3', '2', '.', 'd', 'l', 'l', '\0' }; CHAR szMessageBox[] = {'M', 'e', 's', 's', 'a', 'g', 'e', 'B', 'o', 'x', 'A', '\0'}; HMODULE hUser32 = pLoadLibraryA(szUser32); TMessageBoxA pMessageBox = (TMessageBoxA)pGetProcAddress(hUser32, szMessageBox); CHAR szMessage[] = {'H', 'e', 'l', 'l', 'o', '\0'}; pMessageBox(NULL, szMessage, szMessage, MB_OK); //入口点的rva 存储在偏移为1的地址 DWORD nEntryPoint = *((PDWORD)pData + 1); //现在自定义结构的导入表的首地址 PBYTE pImportTableNow = (PBYTE)(pImageBase + *((PDWORD)pData + 2)); PIMAGE_IMPORT_DESCRIPTOR pImportTableRestore = (PIMAGE_IMPORT_DESCRIPTOR)(pImageBase + *((PDWORD)pData + 3)); //char virtualAlloc[] = { 'V','i','r','t','u','a','l','A','l','l','o','c' }; //根据函数的地址填充导入表 //(PDWORD)FirstThunk | (PDWORD)functionCount | (PBYTE)dllName | (PBYTE)functionName(...X functionCount) INT j = 0; while (*(PDWORD)pImportTableNow)//如果没有到结尾 { pImportTableRestore[j].FirstThunk = *(PDWORD)pImportTableNow; PDWORD pIAT = (PDWORD)(pImageBase + pImportTableRestore[j].FirstThunk);//IAT表 INT count = *((PDWORD)pImportTableNow + 1); //获取这个dll一共导入了多少个函数 pImportTableRestore[j].TimeDateStamp = 0; pImportTableRestore[j].ForwarderChain = 0; //赋值名字的RVA PBYTE name = (PBYTE)((PDWORD)pImportTableNow + 2); pImportTableRestore[j].Name = name - pImageBase; pImportTableNow = (PBYTE)((PDWORD)pImportTableNow + 2) + MyStrlen((PCHAR)name) + 1; //填充导入函数的地址 for (INT i = 0; i < count; i++){ HMODULE hModule = pLoadLibraryA((PCHAR)name); if (hModule) { //如果是编号 if (0xF0000000 == (*(PDWORD)pImportTableNow & (0xF0000000))) { pIAT[i] = (DWORD)pGetProcAddress(hModule, (LPCSTR)(*(PDWORD)pImportTableNow & 0xFFFFFFF)); pImportTableNow += sizeof(DWORD); }else{ pIAT[i] = (DWORD)pGetProcAddress(hModule, (PCHAR)pImportTableNow); pImportTableNow += MyStrlen((PCHAR)pImportTableNow) + 1; } //指向下一个函数 } else { pIAT[i] = 0; if (0xF0000000 == (*(PDWORD)pImportTableNow & (0xF0000000))) { pImportTableNow += sizeof(DWORD); } else { pImportTableNow += MyStrlen((PCHAR)pImportTableNow) + 1; } } } j++; } /*解密代码段*/ //不考虑加密算法,先不写了吧 //调用原函数入口点,这里有一个问题就是会多压入一个返回地址,但是无伤大雅,因为只考虑exe,所以多次进入该函数的情况不存在 return (pImageBase + nEntryPoint); } //////////////////////////////ShellCode End//////////////////////////////////////// void __declspec(naked) End() { } int main() { //将ShellCode写出来 HANDLE hFile = CreateFileA("E:\\ShellCode.bin", GENERIC_WRITE, 0, 0, CREATE_ALWAYS, FILE_ATTRIBUTE_NORMAL, 0); DWORD dwSize; WriteFile(hFile, (LPVOID)Start, (DWORD)((PBYTE)End - (PBYTE)Start), &dwSize, NULL); CloseHandle(hFile); return 0; } |