写这篇文章,还是为了分析我写加壳程序的经历,大家一同进步.

给dll加壳在kanxu老大的书里面有很仔细的论述,不过都是汇编的,我看了有点晕,飞天诚信的书写的又是欲盖弥彰.所以我还是更多的参考了bigboot的文章.

dll理论上和exe是一样的,但dll多了几个东西.

1.export表,exe是没有这个东西的(borland编译的exe似乎也有这个东西).所有的函数要在export表中输出.这个东西在我们自己的loader(stub)加载前就加载了,所以我们要维持这些字符串的原装,对每一个地址加上我们的偏移.当然也可以自己构造新的export结构. 总之处理方法和iat基本一致.

2. reloc表,这个东西exe绝对没有了.exe都是40000加载的,但dll默认是100000,而且可能变化,所以一定要处理reloc.我刚开始做的时候有点复杂了,后来想了一下,没有必要把我们自己stub的reloc和原来dll的reloc合并,因为我们如果不用线程什么的,reloc就是原来的样子,不用合并.处理的方法还是遍历,把所有的thunk都走一遍,计算一下偏移,每个thunk都加上这个偏移.

3.tls,这个基本不用考虑,如果想做,就用tls代理技术吧,bigboot和我前面的文章都有写.注意别把地址和数据搞混了.

4. 一个全局变量,我们可以设为bFirstRun.一定我们的stub加载过一次,就让bFirstRun=false,以后就不在进行stub的操作,直接跳转.

5. 跳转! 这个比较关键,因为和exe不一样,dll还要回到其他程序中去,所以栈绝对不能出错,我自己就在这里走了不少弯路(C++就是这点不好,要是asm自己可以控制栈了). 当dll被加载时,过程时 exe->dllmain, dll中函数被调用是 exe -> dllmain-> dll function. 那系统是怎么判断那个函数dllmain执行完毕的呢?就是栈.所以在跳转到dllmain(其实是entrypoint)前,栈中的数据一定要保证和刚刚开始一直. 这里就说一下c++的实现方法. 我们自己的oep中,主函数一定要用void __declspec(naked), 这样就没有prolog/epilog, 也就是在进入函数时,栈没有变化. 当然里面的函数可以不用这样说明(事实上,就不能嵌套). 在stub处理过所有操作后,我们必须使用汇编跳转, __asm jmp oep;

代码应该是
void __declspec(naked) StubEntryPoint()
{
  if(bFirstRun)
    {
     bFirstRun=false;
     // stub operation
    }
   
   __asm jmp oep;

}

总结,C++做壳原理和asm完全一样,但细节由于语言的限制还是很不一样的.c的代码可读性很不错,如果和asm配合,应该可以写出很不错的壳来.

下面的代码是处理reloc的
void PerformRelocations ()
{
        //see if no relocation records
        if ( gev.dwOriginalRelocVA == 0 )
                return;

        PIMAGE_DOS_HEADER pDosHdr;
        PIMAGE_NT_HEADERS pNtHdr;
        PIMAGE_SECTION_HEADER pSecHdr;
        DWORD dwSecStart;
        DWORD dwKatSup;
        LONG lJmp;
        WORD wNumSections;
        WORD wSizeO;

        pDosHdr = (PIMAGE_DOS_HEADER)dwLoadAddress;
        lJmp = pDosHdr->e_lfanew;
        dwKatSup = (DWORD)pDosHdr;
        dwKatSup += lJmp;

        pNtHdr = (PIMAGE_NT_HEADERS)dwKatSup;
       
        //compute offset
        DWORD reloc_offset = dwLoadAddress - pNtHdr->OptionalHeader.ImageBase;

        //if we're where we want to be, nothing further to do
        if ( reloc_offset == 0 )
                return;

        //gotta do it, compute the start
        IMAGE_BASE_RELOCATION* ibr_current = (IMAGE_BASE_RELOCATION*)(gev.dwOriginalRelocVA + dwLoadAddress );

        //compute the end
        IMAGE_BASE_RELOCATION* ibr_end = (IMAGE_BASE_RELOCATION*)(&((unsigned char*)ibr_current)[gev.dwOriginalRelocSize]);

        //loop through the chunks
        while ( ibr_current < ibr_end && ibr_current->VirtualAddress )
        {
                DWORD RVA_page = ibr_current->VirtualAddress;
                int nCountReloc = ( ibr_current->SizeOfBlock - IMAGE_SIZEOF_BASE_RELOCATION ) / sizeof(WORD);
                WORD awRelTypenIdx = (WORD)((unsigned char*)ibr_current + IMAGE_SIZEOF_BASE_RELOCATION);//???
               
                for ( int i = 0; i < nCountReloc; ++i )
                {
                        WORD wType = awRelTypenIdx >> 12;
                        WORD wValue = awRelTypenIdx & 0x0fff;
                       
                        if ( wType == IMAGE_REL_BASED_HIGHLOW )
                        { //do it
                                *((DWORD*)(RVA_page + wValue + dwLoadAddress)) += reloc_offset;
                        }
                }
                ibr_current = (IMAGE_BASE_RELOCATION*)(&((unsigned char*)ibr_current)[ibr_current->SizeOfBlock]);
        }
}

下一个题目就是anti了,这个都是crack的高手,我得多花些时间了.
文章内容太简单,大家不要笑话

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法