-
-
[原创]Win PE系列之一个简单的加密壳的实现
-
发表于: 2021-10-15 11:43
-
一共需要以下三个文件PE文件来实现本次实验。
demo.exe代表是被加壳的源程序。
Shell.exe代表的是壳子程序。
Packed.exe代表的是加壳程序。
Packed.exe的作用是把demo.exe的内容保存到Shell.exe中,而Shell.exe则是把保存的demo.exe取出运行起来。
也就是Packed.exe的运行流程,过程如下:
将demo.exe读取出来进行异或加密
将加密后的内容为一个新增节追加到Shell.exe中
对应的源码如下
也就是Shell.exe的运行流程,过程如下:
从最后一个节中将节中的内容,也就是加密后的源程序取出来,并进行解密
根据文件对齐与节区对齐的大小获取PE文件装载到内存中的状态
修复IAT表
得到Shell.exe的文件路径,并以挂起的形式创建Shell.exe的新进程
通过ZwUnmapViewOfSection函数将得到的新进程中的内容卸载,以得到干净的进程空间
从新进程中申请足够容纳要运行的源程序的SizeOfImage大小的内存空间,并将修复IAT表之后的源文件内容写入空间中
获得新创建进程中的主线程状态
设置线程的入口点是在新进程申请的内存的初始地址和源程序入口偏移
设置新进程的ImageBase为在新进程申请的内存的初始地址
恢复线程
对应的源代码如下
运行Pack.exe以后会生成target.exe。
最后于 2021-12-27 17:13
被1900编辑
,原因:
赞赏记录
参与人
雪币
留言
时间
嫉妒的死远点
感谢你的贡献,论坛因你而更加精彩!
2025-2-12 01:00
saidyou
为你点赞~
2023-11-6 15:27
CanineTooth
为你点赞~
2023-4-1 12:58
伟叔叔
为你点赞~
2023-3-18 05:55
北门观雪
为你点赞~
2023-3-4 14:00
heheghosts
为你点赞~
2023-2-22 10:16
mb_gvbcijvr
为你点赞~
2023-2-10 00:23
sfzhi
为你点赞~
2023-2-7 14:43
Ally Switch
为你点赞~
2022-10-12 11:37
PLEBFE
为你点赞~
2022-7-28 00:09
ianlcc
为你点赞~
2022-3-6 09:42
谢谢,已经搞定. x64 加壳成功! Eax, Ebx 和 Rcx, Rdx 有对应关系, 另外 +8 改成 +16
