[原创]用汇编写一个加密壳-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[原创]用汇编写一个加密壳

发表于: 2015-9-25 21:07 20681

[原创]用汇编写一个加密壳

阿圈

2015-9-25 21:07

20681

前段时间在学习PE文件格式，然后用汇编写了一个加密壳，比较简单，总体框架应该没什么问题，分享下思路：
1、在原文件最后一节中添加我的补丁程序
2、加密原始PE文件所有节
3、处理原始文件中的数据目录(我是将它保存到补丁程序中的一个地址，并将原文件中的清空)
4、修改入口地址和OEP
加壳后程序会先运行补丁程序，我的补丁程序并没有做太多高深的对抗脱壳的东西
1、反调试
2、解密原始PE文件中的节
3、修复原始文件的IAT
4、修复原始文件中需要的重定位的地址
5、跳回原始文件中的执行入口

由于是自个在学习，难免会有错误，欢迎指正

附上文档和代码
shell是打补丁的程序
patch是补丁

登录后可查看完整内容

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

上传的附件：

加密壳.zip （294.58kb，538次下载）

收藏・34

免费・3

支持

最新回复 (38) 1 2 ▶
ziliu 雪币： 1044 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	ziliu 2 楼我是第一个，支持楼主，\(^o^)/~，对写壳很感兴趣哦 2015-9-25 23:15 0
skandhas 雪币： 1 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	skandhas 3 楼 +1 支持楼主的分享！ 2015-10-8 19:30 0
lyf非非飞雪币： 32 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	lyf非非飞 4 楼支持楼主分享 2015-10-28 11:29 0
frust 雪币： 147 活跃值： (510) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 31 粉丝 1 关注私信	frust 5 楼拿过来研究下。有不懂的回来问楼主哈~ 2015-10-28 11:40 0
好基友雪币： 38 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	好基友 6 楼支持楼主分享 2015-10-28 16:44 0
zengrun 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 2 粉丝 0 关注私信	zengrun 7 楼感谢楼主分享 2015-10-30 10:51 0
阿圈雪币： 57 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 12 回帖 45 粉丝 0 关注私信	阿圈 1 8 楼好的 2015-11-5 21:11 0
summerxia 雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	summerxia 9 楼支持，虽然我什么都不会！！ 2015-11-5 21:53 0
dalerkd 雪币： 118 活跃值： (72) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 527 粉丝 3 关注私信	dalerkd 1 10 楼 mark一下下 2015-11-6 19:25 0
firescript 雪币： 171 活跃值： (92) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 57 粉丝 0 关注私信	firescript 11 楼有码，多谢楼主！ 2015-11-6 20:12 0
cushanggu 雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	cushanggu 12 楼谢谢楼主 2015-11-15 10:25 0
coolsnake 雪币： 2359 活跃值： (288) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 215 粉丝 2 关注私信	coolsnake 13 楼有码，多谢楼主！ 2015-11-16 21:53 0
lxsgbin 雪币： 1651 活跃值： (1425) 能力值： ( LV6，RANK：80 ) 在线值：发帖 39 回帖 147 粉丝 45 关注私信	lxsgbin 1 14 楼请问楼主，如果被加壳程序的基础地址是0x400000,加壳后的基础地址也是0x400000，被加壳程序又没有重定位表，请问如何修复指针？ 2015-11-30 15:00 0
pxhb 雪币： 6598 活跃值： (4582) 能力值： ( LV7，RANK：110 ) 在线值：发帖 10 回帖 422 粉丝 20 关注私信	pxhb 2 15 楼虽然加了一个出错了，但还是感谢分享 2015-11-30 16:56 0
lxsgbin 雪币： 1651 活跃值： (1425) 能力值： ( LV6，RANK：80 ) 在线值：发帖 39 回帖 147 粉丝 45 关注私信	lxsgbin 1 16 楼汇编功底很牛 2015-11-30 23:21 0
antonytoms 雪币： 157 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 25 粉丝 0 关注私信	antonytoms 17 楼支持一下 2015-12-2 10:09 0
我是谁！雪币： 115 活跃值： (23) 能力值： (RANK：20 ) 在线值：发帖 45 回帖 420 粉丝 1 关注私信	我是谁！ 18 楼楼主，。。非常感谢共享技术，正如楼上的楼上哥们。我在研究PE加载器，有联系方式吗！ 2015-12-3 19:01 0
hackerysh 雪币： 23 活跃值： (44) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 13 粉丝 0 关注私信	hackerysh 19 楼这个要学习下，请问如何修复指针？ 2015-12-17 11:02 0
阿圈雪币： 57 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 12 回帖 45 粉丝 0 关注私信	阿圈 1 20 楼修复什么指针？ 2015-12-17 18:06 0
Netfairy 雪币： 191 活跃值： (848) 能力值： ( LV12，RANK：530 ) 在线值：发帖 29 回帖 242 粉丝 40 关注私信	Netfairy 11 21 楼鼓励鼓励 2015-12-17 18:31 0
coolsnake 雪币： 2359 活跃值： (288) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 215 粉丝 2 关注私信	coolsnake 22 楼支持楼主分享 2015-12-18 18:14 0
zxfpt 雪币： 27 活跃值： (27) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 19 粉丝 0 关注私信	zxfpt 23 楼谢谢分享，研究一下 2016-1-28 12:06 0
任我小行雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 2 粉丝 0 关注私信	任我小行 24 楼回复下，露个脸 2016-2-5 12:29 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

阿圈

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (38) 1 2 ▶
ziliu 雪币： 1044 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	ziliu 2 楼我是第一个，支持楼主，\(^o^)/~，对写壳很感兴趣哦 2015-9-25 23:15 0
skandhas 雪币： 1 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	skandhas 3 楼 +1 支持楼主的分享！ 2015-10-8 19:30 0
lyf非非飞雪币： 32 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	lyf非非飞 4 楼支持楼主分享 2015-10-28 11:29 0
frust 雪币： 147 活跃值： (510) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 31 粉丝 1 关注私信	frust 5 楼拿过来研究下。有不懂的回来问楼主哈~ 2015-10-28 11:40 0
好基友雪币： 38 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	好基友 6 楼支持楼主分享 2015-10-28 16:44 0
zengrun 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 2 粉丝 0 关注私信	zengrun 7 楼感谢楼主分享 2015-10-30 10:51 0
阿圈雪币： 57 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 12 回帖 45 粉丝 0 关注私信	阿圈 1 8 楼好的 2015-11-5 21:11 0
summerxia 雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	summerxia 9 楼支持，虽然我什么都不会！！ 2015-11-5 21:53 0
dalerkd 雪币： 118 活跃值： (72) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 527 粉丝 3 关注私信	dalerkd 1 10 楼 mark一下下 2015-11-6 19:25 0
firescript 雪币： 171 活跃值： (92) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 57 粉丝 0 关注私信	firescript 11 楼有码，多谢楼主！ 2015-11-6 20:12 0
cushanggu 雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	cushanggu 12 楼谢谢楼主 2015-11-15 10:25 0
coolsnake 雪币： 2359 活跃值： (288) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 215 粉丝 2 关注私信	coolsnake 13 楼有码，多谢楼主！ 2015-11-16 21:53 0
lxsgbin 雪币： 1651 活跃值： (1425) 能力值： ( LV6，RANK：80 ) 在线值：发帖 39 回帖 147 粉丝 45 关注私信	lxsgbin 1 14 楼请问楼主，如果被加壳程序的基础地址是0x400000,加壳后的基础地址也是0x400000，被加壳程序又没有重定位表，请问如何修复指针？ 2015-11-30 15:00 0
pxhb 雪币： 6598 活跃值： (4582) 能力值： ( LV7，RANK：110 ) 在线值：发帖 10 回帖 422 粉丝 20 关注私信	pxhb 2 15 楼虽然加了一个出错了，但还是感谢分享 2015-11-30 16:56 0
lxsgbin 雪币： 1651 活跃值： (1425) 能力值： ( LV6，RANK：80 ) 在线值：发帖 39 回帖 147 粉丝 45 关注私信	lxsgbin 1 16 楼汇编功底很牛 2015-11-30 23:21 0
antonytoms 雪币： 157 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 25 粉丝 0 关注私信	antonytoms 17 楼支持一下 2015-12-2 10:09 0
我是谁！雪币： 115 活跃值： (23) 能力值： (RANK：20 ) 在线值：发帖 45 回帖 420 粉丝 1 关注私信	我是谁！ 18 楼楼主，。。非常感谢共享技术，正如楼上的楼上哥们。我在研究PE加载器，有联系方式吗！ 2015-12-3 19:01 0
hackerysh 雪币： 23 活跃值： (44) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 13 粉丝 0 关注私信	hackerysh 19 楼这个要学习下，请问如何修复指针？ 2015-12-17 11:02 0
阿圈雪币： 57 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 12 回帖 45 粉丝 0 关注私信	阿圈 1 20 楼修复什么指针？ 2015-12-17 18:06 0
Netfairy 雪币： 191 活跃值： (848) 能力值： ( LV12，RANK：530 ) 在线值：发帖 29 回帖 242 粉丝 40 关注私信	Netfairy 11 21 楼鼓励鼓励 2015-12-17 18:31 0
coolsnake 雪币： 2359 活跃值： (288) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 215 粉丝 2 关注私信	coolsnake 22 楼支持楼主分享 2015-12-18 18:14 0
zxfpt 雪币： 27 活跃值： (27) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 19 粉丝 0 关注私信	zxfpt 23 楼谢谢分享，研究一下 2016-1-28 12:06 0
任我小行雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 2 粉丝 0 关注私信	任我小行 24 楼回复下，露个脸 2016-2-5 12:29 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复