技术基础：会编写加壳程序、了解PE结构、X86指令系统。
开发工具：MASM、VC++

1、我们有时候在改造一个PE的时候，对其中的某些call要做大量的改动，这时
候，往往通过手动增加一个节，在这个节中完成这个call的改造，再返回原来的地方继续执行。此法虽然可行，但工作量实在太大，且调试十分不方便。

2、“通用简单的方法”之实现原理：
    使用jmp far address 和 call far address的机器码长度相同，且仅仅第一字节不同的原则，jmp第一字节是0xE9，而call第一字节是0xE8，后面4字节相同。
    这种方法就是：通过给PE加个小壳，同时在加壳的时候，将PE中要改造的call 修改成调用外壳中的call，在外壳中的call中调用原来PE中的call，而外壳中的call我们在编写的时候较容易实现功能扩充和改造。
    在外壳中的call中，我们有两种扩充功能的方式：
    (1)在调用原来PE中的call之前扩充功能；
    (2)在调用原来PE中的call之后扩充功能；
    扩充功能可以直接在外壳call中实现，但较难调试和复杂。
    简单通用的方法是这个外壳中的新call仅仅完成：
        1、加载一个外部补丁DLL；
        2、调用这个外部补丁DLL中的函数，完成原来PE中的call的功能扩充和改造。
        3、调用原来PE中的call的；
    是先调用原来PE中的call还是后调用，视具体需要决定。这样我们就可以很简单的写扩充的功能代码了，因为这个外部补丁DLL可以用高级语言来写，且调试十分简单。

3、外壳中函数的具体实现：
    (一) 首先，在外壳中设定几个变量：
    (1) 保存外部DLL的各个函数地址的变量(DWORD)：
        pfnExtPatchFun_1--pfnExtPatchFun_n，n为多大具体看要改造PE中几个函数。
    (2) 保存原来PE中的call的“地址差”变量(DWORD)：
        dwOrgCallDifference_1--dwOrgCallDifference_n，n为多大具体看要改造PE中几个函数。
        dwOrgCallDifference_x = 原来call的机器码的后4个字节(双字)。
    (3) 保存原来PE中的call的RVA地址的变量(DWORD)：
        dwOrgCallRVA_1--dwOrgCallRVA_n，n为多大具体看要改造PE中几个函数。
    (4) 保存外部DLL的hModule的变量(DWORD):
        hExtPatchDll。
    ;-----------------------------------------------------------------
    举例说明：
      如：原来PE的ImageBase=0x00400000，且有下面代码(IDA显示)：
          .
          .
          004010CB 50                push    eax
          004010CC 57                push    edi
          004010CD E8 CE 08 00 00    call    sub_4019A0 ;需要改造的call，注意机器码后4字节
          004010D2 85 C0             test    eax, eax
          .
          .
      则：dwOrgCallRVA_1 = 004010CD - 0x00400000 = 0x000010CD
          dwOrgCallDifference_1 = 0x000008CE
   ;------------------------------------------------------------------
   ;
   (二) 在外壳程序中编写这些call，需要改造几个函数，就有几个call，格式如下：
;*****************************************************************************
;---------------------------------------------------;
; 外壳中的call,用于替换原来PE中的call               ;
;---------------------------------------------------;
align 4
wjq_API_SMC_Label_1:
GeneralPEShellCall_1                proc
;{
    ;原PE中的call的入口参数，我们通过堆栈传递到Dll中的新call，此时需注意EBP在本call中不要改变。
    @nPara1 EQU [ebp+0ch] ;原来PE中的Call的参数，也可以通过esp取得
    @nPara2 EQU [ebp+8h]
    ;
    pusha
    call GetPatchDllFunctions ;获取外部DLL中的所有函数地址并保存
    call GetAddressDifference ;获取地址差
    .if [pfnExtPatchFun_1+eax] != 0  ;如果功能函数1实现了，就调用
       push  @nPara1 ;原来PE中的Call的参数
       push  @nPara2
       call  [pfnExtPatchFun_1+eax] ;调用外部DLL中的补丁call
    .endif
    ;------------调用原来的call-------------------------
    call GetAddressDifference ;获取地址差
    lea esi,[TempCall_1+eax]  ;现在call的VA
    sub esi,[Image_Base+eax]  ;转换成RVA
    sub esi,[dwOrgCallRVA_1+eax] ;减去原来PE中的call的RVA = 两个call的地址差
    ;
    mov ebx,[dwOrgCallDifference_1+eax]        ;原来call xxxxxxxx 指令的偏移差
    .if ebx < 0  ;负数，原来call向上调用
        add ebx,esi
    .else        ;正数，原来call向下调用
        sub ebx,esi
    .endif
    ;
    mov  [TempCallDifference_1+eax],ebx        ;修正后的差值
    popa
    ;
    ;下面等同于一个 jmp far xxxxxxxx 语句,调用原来的call
    ;这里之所以采用这种方式，而不是用call，是为了通用，因为PE中的call有些是__stdcall，有些是___cdecl，如果一概采用call实现，要考虑出栈问题，不是很通用了。
TempCall_1           db 0E9h
TempCallDifference_1 dd        0
    ret
;}
GeneralPEShellCall_1 endp

;---------------------------------------------------------------------
; 获取外部DLL中的所有函数地址并保存
; 此函数中使用的W_LoadLibraryA等W_开始的函数，是外壳自建引入表是实现的
;---------------------------------------------------------------------
GetPatchDllFunctions  proc
    pusha
    call GetAddressDifference
    mov  edx,eax
    .if [hExtPatchDll+edx] == 0 ;如果已经装载了，就直接返回。
        ;
        lea ebx,[pExtPatchDll+edx]
        push edx ;保存地址差
        ;--------------------------
        push ebx
        call [W_LoadLibraryA+edx]
        ;--------------------------
        pop  edx ;恢复地址差
        mov  [hExtPatchDll+edx],eax
        .if eax != 0
           ;-------------;
           ;  function_1 ;
           ;-------------;
           push         edx  ;保存地址差
           lea   ebx,[pExtPatchFun_1+edx]
           push         ebx  ; 功能名的字符偏移
           push         dword ptr [hExtPatchDll+edx] ; 模块的句柄
           call         [W_GetProcAddress+edx] ; 调用Kernel32!GetpProcAddress以获得功能调用地址
           pop   edx ;恢复地址差
           mov   [pfnExtPatchFun_1+edx],eax
           ;-------------;
           ;  function_2 ;
           ;-------------;
           push         edx  ;保存地址差
           lea   ebx,[pExtPatchFun_2+edx]
           push         ebx  ; 功能名的字符偏移
           push         dword ptr [hExtPatchDll+edx] ; 模块的句柄
           call         [W_GetProcAddress+edx] ; 调用Kernel32!GetpProcAddress以获得功能调用地址
           pop   edx ;恢复地址差
           mov   [pfnExtPatchFun_2+edx],eax
           .
           .
           ;-直到取得n个函数地址。
       .endif
   .endif
   popa
   ret
GetPatchDllFunctions  endp

;-------------------------------------------------------------------
;该函数返回：地址差
;-------------------------------------------------------------------
align 4
GetAddressDifference proc
   call        @F
@@:
   pop  eax             ;获得实际偏移
   sub  eax, offset @B  ;减去偏移=地址差
   ret
GetAddressDifference endp
;*****************************************************************************

4、加壳部分的实现：
   相对来说，加壳部分的实现加简单，只要按照上面计算call的偏移差的方法，计算出新的偏移差，改写这个call的机器码的后4字节为新的偏移差，使其调用我们外壳中的call就可以了。
  ;
  具体计算过程如下：
  mov  eax,dwOrgCallRVA_1    ;原来PE中call处的RVA，对应上面例子就是：dwOrgCallRVA_1 = 0x000010CD
  mov  edx,Sheller_RVA       ;外壳程序入口的RVA
  add  edx,API_CALL_ADJUST_1 ;API_CALL_ADJUST_1 = wjq_API_SMC_Label_1 - Sheller_Start
  sub  edx,eax   ;差值
  sub  edx,5     ;减去Call指令的长度5
  mov  eax,edx   ;此时后的eax就是要修改的原PE中的call的后4字节(偏移差)，对应上面例子就是：004010CD E8 CE 08 00 00 的 CE 08 00 00，变为双字就是0x000008CE，这个值改为eax中的值。

  需要注意的是：API_CALL_ADJUST_1的计算要使用wjq_API_SMC_Label_1标号，而不是函数名字GeneralPEShellCall_1。

5、外部DLL的编写格式(使用高级语言，快速编写，十分方便的调试)：
//具体参数格式，请根据原来PE中的call的入口参数确定
//调用约定请参照外壳中的call，主要看出栈规则，我用的是__stdcall，也可以用___cdecl，主要根据外壳call中的使用方式，这个不能错，否则堆栈就乱套了。
extern "C" DWORD __stdcall ExtPatchFun_1(DWORD nPara1,DWORD nPara2)
{
  //实现功能扩充。。。
  return;
}
//
extern "C" DWORD __stdcall ExtPatchFun_2(DWORD nPara1,DWORD nPara2)
{
  //实现功能扩充。。。
  return;
}

6、关于补丁DLL的卸载
   我们在外壳call中只加载外部DLL，但不去卸载。这会不会有问题呢？回答是否定的，因为PE在结束进程时候，会自动卸载所有加载到本进程的DLL，所以，不用关心这个DLL不会卸载掉。而且，我们通过只加载方式使用这个DLL，会给我们带来很大方便，因为，只要在一处加载了这个外部DLL，我们就可以在原PE的任何地方调用其中的函数。

7、上面介绍的是先调用功能扩展部分，再调用原来的call。反之实现的方法类似，可自行发挥。

  排版不是很好，凑合着看吧。。呵呵。
                                                       Spring.W
                                                       2005.3.14

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！