软件加壳的原理及实现[转]

转载自 https://blog.csdn.net/woshigeshusheng/article/details/68489843,侵删

加壳的实现

我是个初学者,所知有限,难免会有错误,如果有人发现了错误,还请指正。 
先大致说一下加壳的原理,即在原PE文件(后面称之为宿主文件)上加一个新的区段(也就是壳),然后从这个新的区段上开始运行;也就算是成功的加上了壳;下面我们就说一下具体的实现。 
这个工程有两个项目,一个用来生成壳的Win32项目(dll类型),另一个是实现加壳的MFC项目; 
加壳的项目界面是用MFC实现的,除了原有的类外,添加了两个新类,一个用于PE操作, 
一个用于加壳。

下面说下加壳过程的实现: 
先将原PE文件读取到内存;获取头文件信息,获得.text区段信息,然后对代码段进行加密(简单的异或加密);随后再用LoadLibrary将生成的壳(是一个dll)加载到内存;我们需要在壳的程序里对宿主PE进行解密,并且还要修复重定位,所以要把一些必要的数据存储到加载的壳里面; 
申请空间将dll(壳)拷贝一份(此处大家可能会疑惑为什么要拷贝一份,因为我在以LoadLibrary加载进来的壳里直接修改需要重定位的地址信息时,程序运行会出错); 
然后申请内存,大小是原宿主PE文件和壳的大小的和;先将宿主程序拷贝进去; 
然后修复重定位信息,这个地方应该重点说明一下,我是直接把展开的整个dll拷贝到新PE文件里,并且打算壳的部分利用系统的重定位(每次加载PE文件的时候,如果重定位没有关掉,系统会进行一次重定位),所以在拷贝之前,要把需要重定位的地址修改成在新PE中的虚拟地址,并且我们的壳是通过LoadLibrary的方式加载的,已经被重定位过,我又是直接拷贝过来的,所以修改地址的时候要注意,后面会说到如何修改。 
然后,合并PE文件和壳;设置新的OEP,既然加壳,当然要从壳的我们规定的开始位置开始执行,需要将其改成相对新PE开始位置的偏移,原理和修复重定位差不多,不过一个是相对虚拟地址,一个是虚拟地址。 
如图: 
这里写图片描述 
相对虚拟地址=1+2; 
如果修复重定位的话就某一地址的相对虚拟地址再加个默认基址; 
下面是代码实现部分:

bool CPack::Pack(WCHAR * szPath)
{
    CPe objPe;

    //读取要被加壳的PE文件
    DWORD dwReadFilSize = 0;
    HANDLE hFile = CreateFile(szPath,GENERIC_READ | GENERIC_WRITE, 0, NULL,
                   OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL);

    DWORD dwFileSize = GetFileSize(hFile, NULL);
    char * pFileBuf = new char[dwFileSize];
    memset(pFileBuf, 0, dwFileSize);
    ReadFile(hFile, pFileBuf, dwFileSize, &dwReadFilSize, NULL);

    //获取PE头文件信息
    PEHEADERINFO pPeHead = { 0 };
    objPe.GetPeHeaderinfo(pFileBuf, &pPeHead);

    //加密
    IMAGE_SECTION_HEADER pTxtSection;
    objPe.GetSectionInfo(pFileBuf, &pTxtSection, ".text");
    objPe.XorCode((LPBYTE)(pTxtSection.PointerToRawData + pFileBuf), pTxtSection.SizeOfRawData);

    //用loadLibrary加载壳文件
    HMODULE pLoadStubBuf = LoadLibrary(L"..\\Release\\Stub.dll");

    //存储必要的信息
    PPACKINFO PackInfoAdd = (PPACKINFO)GetProcAddress((HMODULE)pLoadStubBuf, "g_PackInfo");

    PackInfoAdd->dwOriStartPoint = pPeHead.pOptionHeader->AddressOfEntryPoint;                                          //需要跳转的OEP
    PackInfoAdd->dwImageBase = pPeHead.pOptionHeader->ImageBase;                                                        //默认加载基址
    PackInfoAdd->dwXorCode = pTxtSection.VirtualAddress;                                                                //加密代码段地址
    PackInfoAdd->dwXorKey = 0xE;                                                                                        //加密密钥
    PackInfoAdd->dwXorSize = pTxtSection.SizeOfRawData;                                                                 //加密大小
    PackInfoAdd->stcPeRelocDir = pPeHead.pOptionHeader->DataDirectory[IMAGE_DIRECTORY_ENTRY_BASERELOC];                 //重定位表信息
    PackInfoAdd->dwSizeOfImage = pPeHead.pOptionHeader->SizeOfImage;                                                    //原PE的大小

    //拷贝一份
    MODULEINFO stcModInfo = { 0 };
    GetModuleInformation(GetCurrentProcess(), pLoadStubBuf, &stcModInfo, sizeof(MODULEINFO));
    char * pStubBuf = new char[stcModInfo.SizeOfImage];
    memset(pStubBuf, 0, stcModInfo.SizeOfImage);
    memcpy(pStubBuf, pLoadStubBuf, stcModInfo.SizeOfImage);

    //申请新空间存储新PE
    int NewPeSize = objPe.GetAddSectionSize(pFileBuf, (char*)pLoadStubBuf, stcModInfo.SizeOfImage);
    char * pNewPeBuf = new char[NewPeSize];
    memset(pNewPeBuf, 0, NewPeSize);
    memcpy(pNewPeBuf, pFileBuf, dwFileSize);

    //修改重定位表
    objPe.FixReloc(pStubBuf, pNewPeBuf);

    // 添加一个区段
    objPe.AddSection(pNewPeBuf, pStubBuf, stcModInfo.SizeOfImage);

    //设置入口点
    //自己定义的壳的开始位置的原始偏移
    DWORD Offset = PackInfoAdd->dwStartPoint - (DWORD)pLoadStubBuf;
    //相对于新PE的起始位置的偏移
    unsigned int NewOep = Offset + pPeHead.pOptionHeader->SizeOfImage;
    objPe.SetOep(pNewPeBuf, NewOep);

    //保存成文件
    SavePackFile(szPath, pNewPeBuf, NewPeSize);

    //释放内存
    delete[]pFileBuf;
    delete[]pStubBuf;
    delete[]pNewPeBuf;

    return true;
}

 

下面我们就重点说一下修复重定位,通过重定位表找到能存储着需要重定位地址的地址,然后我们把这个地址存储的数据给改了就行了;其实修改重定位信息,简而言之就是把需要重定位的地址改成基于新基址的虚拟地址,这样程序在运行时才能根据真正的加载基址进行重定位;像我们这种情况,需要算出目标地址相对于壳的起始位置的偏移,加上宿主PE的默认加载基址,再加上这个壳加到PE之后的作为新区段的相对虚拟地址,也就是基于新PE的虚拟地址了。 
并且由于相对虚拟地址是从0开始,所以头文件里的sizeofimage就是这个新区段的RVA。 
比如说一个在内存中展开后大小(sizeofimage)为5000的宿主文件,相对虚拟地址为5000的地方就是新区段的起始位置(vitualaddress)。 
如图: 
这里写图片描述

还有几点应该注意,壳的部分我们要用系统进行重定位,在循环中要修改壳需要重定位的页的起始位置相对虚拟地址(重定位表的每一个PIMAGE_BASE_RELOCATION结构体变量描述的都是某个区段一个页的重定位信息),最后还要将重定位表的指针指向壳的重定位表,并且将重定位表的大小改成壳的重定位表的大小。 
代码实现如下:

bool CPe::FixReloc(char* StubBuf, char*PeBuf)
{
    //获取被加壳PE文件的重定位表指针
    PIMAGE_DOS_HEADER pPeDos = (PIMAGE_DOS_HEADER)PeBuf;
    PIMAGE_NT_HEADERS pPeNt = (PIMAGE_NT_HEADERS)(pPeDos->e_lfanew + PeBuf);
    PIMAGE_DATA_DIRECTORY pPeRelocDir = &(pPeNt->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_BASERELOC]);


    //获取壳文件的重定位表指针
    PIMAGE_DOS_HEADER pStuDos = (PIMAGE_DOS_HEADER)StubBuf;
    PIMAGE_NT_HEADERS pStuNt = (PIMAGE_NT_HEADERS)(pStuDos->e_lfanew + StubBuf);
    PIMAGE_DATA_DIRECTORY pStuRelocDir = pStuNt->OptionalHeader.DataDirectory;
    pStuRelocDir = &(pStuRelocDir[IMAGE_DIRECTORY_ENTRY_BASERELOC]);

    //获取重定位目录
    PIMAGE_BASE_RELOCATION pStuReloc = (PIMAGE_BASE_RELOCATION)((DWORD)StubBuf + pStuRelocDir->VirtualAddress);

    //定义一个存储TypeOffset的结构体
    typedef struct {
        WORD Offset : 12;
        WORD Type : 4;
    }TypeOffset, *PTypeOffset;

    //修复重定位信息
    PTypeOffset pTypeOffset = (PTypeOffset)(pStuReloc + 1);

    DWORD dwCount = (pStuReloc->SizeOfBlock - 8) / 2;

    while (pStuReloc->VirtualAddress)
    {
        for (DWORD i = 0; i < dwCount; i++)
        {
            if (*(PDWORD)(&pTypeOffset[i]) == NULL)
            {
                break;
            }

            //存储重定位地址的相对虚拟地址
            DWORD dwRVA = pStuReloc->VirtualAddress + pTypeOffset[i].Offset; //RVA

            //重定位的地址
            DWORD pRelocAddr = *(PDWORD)((DWORD)StubBuf + dwRVA);            

            //改掉(PDWORD)((DWORD)StubBuf + dwRVA)存储的值,也就是已经重定位的将来需要重定位的地址
            *(PDWORD)((DWORD)StubBuf + dwRVA) = pRelocAddr - pStuNt->OptionalHeader.ImageBase
                + pPeNt->OptionalHeader.ImageBase + pPeNt->OptionalHeader.SizeOfImage;
        }

        //修改壳重定表中需要重定位的页的起始位置的相对虚拟地址
        pStuReloc->VirtualAddress += pPeNt->OptionalHeader.SizeOfImage;

        pStuReloc = (PIMAGE_BASE_RELOCATION)((DWORD)pStuReloc + pStuReloc->SizeOfBlock);
    }

    //修改PE文件的重定位表指针
    pPeRelocDir->Size = pStuRelocDir->Size;
    pPeRelocDir->VirtualAddress = pStuRelocDir->VirtualAddress + pPeNt->OptionalHeader.SizeOfImage;

    return true;
}
 

接下来讲一下添加区段,这个主要要注意更改PE头文件的信息,文件才能正常运行,不用对齐,我是把整个展开的dll拷贝过来的,按0x1000进行对齐展开的代码,按0x200对齐肯定没问题。要注意将新区段的属性得是可读可写可执行(我踩的一个坑),至于为什么后面再说; 
下面是实现代码:

void CPe::AddSection(char* pBuf, char*pNewSection, int nSize)
{
    PEHEADERINFO HeaderInfo = { 0 };
    DWORD NumOfSection = 0;
    if (IsPeFile(pBuf) == false)
    {
        return;
    }

    //获得PE的头文件信息
    GetPeHeaderinfo(pBuf,&HeaderInfo);
    //修改区段数量
    NumOfSection = HeaderInfo.pFileHeader->NumberOfSections;
    HeaderInfo.pFileHeader->NumberOfSections += 1;
    //新增区段信息
    PIMAGE_SECTION_HEADER pLastHeader = HeaderInfo.pSectionHeader + NumOfSection - 1;
    PIMAGE_SECTION_HEADER pNewSecHeader = HeaderInfo.pSectionHeader + NumOfSection;
    memcpy(pNewSecHeader->Name, "aStub", 6);
    pNewSecHeader->Misc.VirtualSize = nSize;
    pNewSecHeader->VirtualAddress = HeaderInfo.pOptionHeader->SizeOfImage;
    int a = sizeof(*pBuf);
    pNewSecHeader->PointerToRawData = pLastHeader->PointerToRawData + pLastHeader->SizeOfRawData;
    pNewSecHeader->SizeOfRawData = nSize;
    pNewSecHeader->Characteristics = 0xE0000020;
    //修改镜像大小
    HeaderInfo.pOptionHeader->SizeOfImage += nSize;
    //把区段添加到PE文件中
    memcpy(pBuf + pNewSecHeader->PointerToRawData, pNewSection, nSize);
}

  

大家应该已经注意到我获取头文件信息 很多地方都是直接用的一个函数GetPeHeaderinfo,我是把获取头文件信息的操作封装成了函数;信息保存在一个自定义结构体类型的变量里;

typedef struct PEHEADERINFO
{
    PIMAGE_FILE_HEADER pFileHeader;
    PIMAGE_OPTIONAL_HEADER pOptionHeader;
    PIMAGE_SECTION_HEADER pSectionHeader;
}PEHEADERINFO, *PPEHEADERINFO;

 

下面就说一下壳的实现: 
既然前面对宿主PE的代码段进行加密,自然要在壳的代码里进行解密;在执行之前我们还要人工对原PE文件进行一次重定位;要让程序执行原PE文件;自然要跳转到原始的入口点,前面已经将原始入口点的相对虚拟地址保存到了壳里面。只要根据加载基址算出这个入口点的地址,到这个地址去执行就可以了。那么问题来了,我们的壳利用利用入口点直接开始执行了我们的代码,既没加载模块,也没加载资源什么的,无论是人工的进行重定位,还是获得当前的加载基址,都需要函数。所所以我们要人工的获取以下这些函数的地址。 
首先,要先将可能要用到的函数定义好:

//Stub部分用到的函数的类型定义
typedef DWORD(WINAPI *fnGetProcAddress)(_In_ HMODULE hModule, _In_ LPCSTR lpProcName);
typedef HMODULE(WINAPI *fnLoadLibraryA)(_In_ LPCSTR lpLibFileName);
typedef HMODULE(WINAPI *fnGetModuleHandleA)(_In_opt_ LPCSTR lpModuleName);
typedef BOOL(WINAPI *fnVirtualProtect)(_In_ LPVOID lpAddress, _In_ SIZE_T dwSize, _In_ DWORD flNewProtect, _Out_ PDWORD lpflOldProtect);
typedef LPVOID(WINAPI *fnVirtualAlloc)(_In_opt_ LPVOID lpAddress, _In_ SIZE_T dwSize, _In_ DWORD flAllocationType, _In_ DWORD flProtect);
typedef void(WINAPI *fnExitProcess)(_In_ UINT uExitCode);
typedef int(WINAPI *fnMessageBox)(HWND hWnd, LPSTR lpText, LPSTR lpCaption, UINT uType);

定义函数指针,保存函数地址

//需要获取的函数
fnGetProcAddress     pfnGetProcAddress = NULL;
fnLoadLibraryA       pfnLoadLibraryA = NULL;
fnVirtualProtect     pfnVirtualProtect = NULL;
fnVirtualAlloc       pfnVirtualAlloc = NULL;
fnGetModuleHandleA   pfnGetModuleHandleA = NULL;
fnMessageBox         pfnMessageBox = NULL;
fnExitProcess        pfnExitProcess = NULL;

好了该说一下,我上面提到的那个坑了,我开始没有把壳的这个区段保存成可读可写可执行的属性,导致获得的下面这些变量的值都无法保存;后来意识到这个问题,改了属性后果然正常。

下面是获取Kernel32.dll的代码

DWORD GetKernel32Addr()
{
    DWORD dwKernel32Addr = 0;
    _asm
    {
        push eax
            mov eax, dword ptr fs : [0x30]  //eax=PEB的地址
            mov eax, [eax + 0x0C]           //eax=PEB_LDR_DATA的指针
            mov eax, [eax + 0x1C]           //eax=模块初始化链表的指针,InInitializationOrderModuleList
            mov eax, [eax]                  //eax=列表中的第二个条目
            mov eax, [eax]                  //eax=列表中的第二个条目
            mov eax, [eax + 0x08]           //eax=获取到的Kernel32.dll基址(win7下获取的是KernelBase.dll
            mov dwKernel32Addr, eax                           
            pop eax
    }
    return dwKernel32Addr;
}

然后用名称遍历导出表得到函数GetProcAddress的地址; 
然后我们就可以利用GetProcAddress获得所需函数的地址:

void Init()
{
    HMODULE hKernel32 = (HMODULE)GetKernel32Addr();
    pfnGetProcAddress = (fnGetProcAddress)MyGetProcessAddress();
    pfnLoadLibraryA = (fnLoadLibraryA)pfnGetProcAddress(hKernel32, "LoadLibraryA");
    pfnVirtualProtect = (fnVirtualProtect)pfnGetProcAddress(hKernel32, "VirtualProtect");
    pfnVirtualAlloc = (fnVirtualAlloc)pfnGetProcAddress(hKernel32, "VirtualAlloc");
    pfnGetModuleHandleA = (fnGetModuleHandleA)pfnGetProcAddress(hKernel32, "GetModuleHandleA");
    pfnExitProcess = (fnExitProcess)pfnGetProcAddress(hKernel32, "ExitProcess");

    //获取messagebox
    HMODULE hUser32 = pfnLoadLibraryA("user32.dll");
    pfnMessageBox = (fnMessageBox)pfnGetProcAddress(hUser32, "MessageBoxA");

    //加载基址
    LoadBase = (DWORD)pfnGetModuleHandleA(NULL);
}

下面就要利用得到的函数,对原宿主PE进行人工的重定位了,就是把需要重定位的虚拟地址改成真正的地址;用保存的地址-默认加载基址(加壳的过程中已保存)+实际的加载基址;在重定位的过程中要修改保护属性。

bool SelfReloc()
{

    //获取重定位目录
    PIMAGE_BASE_RELOCATION pStuReloc = (PIMAGE_BASE_RELOCATION)(LoadBase + g_PackInfo.stcPeRelocDir.VirtualAddress);

    //定义一个存储TypeOffset的结构体
    typedef struct {
        WORD Offset : 12;
        WORD Type : 4;
    }TypeOffset, *PTypeOffset;

    DWORD dwOldProtect = 0;               

    //修复重定位信息
    while (pStuReloc->VirtualAddress)
    {
        //修改保护属性
        //按道理来修改属性大小设置为0x1000就可以了,调试能力有限,暂时不知道为什么设置成0x2000才可以
        pfnVirtualProtect((LPVOID)(LoadBase + pStuReloc->VirtualAddress), 0X2000, PAGE_EXECUTE_READWRITE, &dwOldProtect);
        PTypeOffset pTypeOffset = (PTypeOffset)(pStuReloc + 1);

        DWORD dwCount = (pStuReloc->SizeOfBlock - 8) / 2;

        for (DWORD i = 0; i < dwCount; i++)
        {
            if (*(PDWORD)(&pTypeOffset[i]) == NULL)
            {
                break;
            }

            DWORD dwRVA = pStuReloc->VirtualAddress + pTypeOffset[i].Offset;        

            DWORD pRelocAddr = *(PDWORD)(LoadBase + dwRVA);                         
            *(PDWORD)(LoadBase + dwRVA) = pRelocAddr - g_PackInfo.dwImageBase
                + LoadBase;
        }

        //恢复保护属性
        pfnVirtualProtect((LPVOID)(LoadBase + pStuReloc->VirtualAddress), 0X2000, dwOldProtect, &dwOldProtect);

        //获取描述下一个页重定位信息的结构体变量
        pStuReloc = (PIMAGE_BASE_RELOCATION)((DWORD)pStuReloc + pStuReloc->SizeOfBlock);
    }

    return true;
}

加壳的时候已经把原PE文件OEP相对虚拟地址保存下来,加上加载基址就是原PE入口点现在的地址,然后从那个地址执行就可以了:

void _declspec(naked) start()
{
    Init();
    DeXorCode();
    SelfReloc();
    _asm
    {
        push eax;
        mov eax, LoadBase;
        add eax, g_PackInfo.dwOriStartPoint;
        mov dword ptr[esp], eax;
        ret;
    }
}
posted @ 2018-06-08 11:57  枉丶歌  阅读(615)  评论(0编辑  收藏  举报