[原创]手工隐藏api函数调用——简单对付静态分析-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]手工隐藏api函数调用——简单对付静态分析

发表于: 2009-7-25 15:25 20040

[原创]手工隐藏api函数调用——简单对付静态分析

DebugFan

2009-7-25 15:25

20040

隐藏api函数调用对于对付静态分析,不用说是非常有意义的,许多加壳软件在输入表上大做文章,其中有一个重要的作用就是让破解者在得到的反汇编代码中看不到正常的api函数调用。我做一个最简单的测试，在不借助加壳软件和虚拟机保护技术的情况下，用手写代码的方式来实现隐藏api函数调用。
先看看我要保护的代码：

#include "windows.h"
int APIENTRY WinMain(HINSTANCE hInstance,HINSTANCE hPrevInstance,LPSTR lpCmdLine,int nCmdShow)
{
  MessageBox(0,"Reverse Me","Test",0);
  return 0;
}

#include "windows.h"
typedef int (WINAPI *MYFUNC)(HWND hWnd,LPCTSTR lpText,LPCTSTR lpCaption,UINT uType);
int APIENTRY WinMain(HINSTANCE hInstance,HINSTANCE hPrevInstance,LPSTR lpCmdLine,int nCmdShow)
{
  char MsgBoxA[]={0x5c,0x74,0x62,0x62,0x70,0x76,0x74,0x53,0x7e,0x69,0x50,0x00};  //字符串"MessageBoxA"的加密形式。
  char lpText[]={0x43,0x74,0x67,0x74,0x63,0x62,0x74,0x31,0x5C,0x74,0x00};  //字符串"Reverse Me"的加密形式。
  char lpCaption[]={0x45,0x74,0x62,0x65,0x00};  //字符串"Test"的加密形式。
  for(int i=0;i<strlen(MsgBoxA);i++)  MsgBoxA[i]^=0x11;  //解密字符串"MessageBoxA"
  for(i=0;i<strlen(lpText);i++)    lpText[i]^=0x11;  //解密字符串"Reverse Me"  
  for(i=0;i<strlen(lpCaption);i++)  lpCaption[i]^=0x11;  //解密字符串"Test"
  HMODULE hMod=LoadLibrary("user32.dll");
  if(hMod)
  {
    MYFUNC func=(MYFUNC)GetProcAddress(hMod,MsgBoxA); //获取MessageBoxA的函数地址。
    func(0,lpText,lpCaption,0);  //调用MessageBoxA函数。
    FreeLibrary(hMod);
  }
  return 0;
}

。。。。。。

  MYFUNC func=NULL;
  char * pFuncName;
  HMODULE hMod=LoadLibrary("user32.dll");
  if(hMod)
  {
    PIMAGE_DOS_HEADER pDosHeader = (PIMAGE_DOS_HEADER)hMod;
    PIMAGE_NT_HEADERS pNtHeader  = (PIMAGE_NT_HEADERS)((ULONG)hMod+pDosHeader->e_lfanew);
    PIMAGE_OPTIONAL_HEADER32 pOptionalHeader = &(pNtHeader->OptionalHeader);
    PIMAGE_DATA_DIRECTORY pExportData = (PIMAGE_DATA_DIRECTORY)(&(pOptionalHeader->DataDirectory[0]));
    PIMAGE_EXPORT_DIRECTORY pExportTable = (PIMAGE_EXPORT_DIRECTORY)((ULONG)hMod+pExportData->VirtualAddress);
    ULONG * AddrFunctions=(ULONG *)((ULONG)hMod+pExportTable->AddressOfFunctions);
    ULONG * AddrNames=(ULONG *)((ULONG)hMod+pExportTable->AddressOfNames);
    for(i=0;i<pExportTable->NumberOfFunctions;i++)
    {
      pFuncName=(char *)((LONG)hMod+AddrNames[i]);
      if(strcmp(pFuncName,MsgBoxA)==0)
      {
        func=(MYFUNC)((LONG)hMod+AddrFunctions[i]);
        break;
      }
    }
    if(func)
      func(0,lpText,lpCaption,0);
    FreeLibrary(hMod);
  }
。。。。。。

#pragma comment(linker, "/SECTION:.text,ERW")
void Decrypt(char * start,char * end)
{  
  for(char * i=start;i<end;i++)
  {
    (*i)^=0x11;
  }
}
。。。。。。

  Decrypt((char * )401000,(char * )400000); //两个需要更正的地址参数。
  __asm inc eax  __asm dec eax  //16进制对应40 48 ，用来标记加密代码段起始地址
  HMODULE hMod=LoadLibrary("user32.dll");
。。。。。。

  __asm inc eax __asm dec eax //16进制对应40 48，用来标记加密代码段末地址
  return 0;
。。。。。。

登录后可查看完整内容

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

上传的附件：

完整代码.rar （0.92kb，162次下载）

收藏・17

免费・7

支持

最新回复 (38) 1 2 ▶
yingyue 雪币： 1844 活跃值： (35) 能力值： ( LV3，RANK：30 ) 在线值：发帖 16 回帖 2595 粉丝 3 关注私信	yingyue 2 楼你这样没用的，我相信没有任何人会只用 IDA 看程序的，动静合一就连几百年前的武术都知道这个道理人家一个 f9 就可以看到不该看的地方 2009-7-25 19:31 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 3 楼心得写的很好. 谢谢分享~~~ 2009-7-25 23:06 0
HotPower 雪币： 129 活跃值： (1095) 能力值： ( LV2，RANK：10 ) 在线值：发帖 89 回帖 472 粉丝 8 关注私信	HotPower 4 楼用COM接口技术会好些的，可以给反汇编增加难度。 2009-7-25 23:09 0
loway 雪币： 227 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 63 粉丝 0 关注私信	loway 5 楼如果到了最后还是完整的解密的话那么用OD运行之后不就全都看到了吗？ 2009-7-26 01:30 0
cntrump 雪币： 1708 活跃值： (586) 能力值： ( LV15，RANK：670 ) 在线值：发帖 204 回帖 2062 粉丝 19 关注私信	cntrump 13 6 楼加密后就不信你不解密,在你解密的时候我再K你 2009-7-26 09:59 0
DebugFan 雪币： 97 活跃值： (30) 能力值： ( LV2，RANK：140 ) 在线值：发帖 6 回帖 41 粉丝 2 关注私信	DebugFan 3 7 楼呵呵,我这个旨在对付静态分析.那个SMC没有嵌套,也没有Anti-Debug,要对付它,那比捏死一只蚂蚁还容易. 2009-7-26 17:48 0
Fido 雪币： 107 活跃值： (404) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 1019 粉丝 1 关注私信	Fido 8 楼对初学者应当很受用 2009-7-28 09:50 0
chupch 雪币： 263 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 9 粉丝 0 关注私信	chupch 9 楼思想重要，思想重要~ 2009-7-28 10:46 0
HSQ 雪币： 381 活跃值： (140) 能力值： ( LV13，RANK：330 ) 在线值：发帖 36 回帖 332 粉丝 7 关注私信	HSQ 8 10 楼这种隐藏方式以前也用汇编实现过，对静态的还算有点效果，可拿OD一跟进去，或用API监视工具，最后还是会暴露无疑的。即使自己弄个该功能的引擎，其效果还不如拿VMProtect之类的加壳工具搞定了事，总之个人认为效果不是很好，没有深究的念头 2009-7-28 11:07 0
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 610 粉丝 0 关注私信	nkspark 3 11 楼牛~~~~~~~ 2009-7-28 11:16 0
yugi 雪币： 222 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 21 粉丝 0 关注私信	yugi 12 楼学习了还用 scm 呀不错 2009-7-28 11:30 0
Cyane 雪币： 388 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 232 粉丝 0 关注私信	Cyane 1 13 楼学习想法很好 2009-7-28 17:25 0
woami 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	woami 14 楼谢谢，学习了，但是这种方法，如果软件稍微大一点会不会影响运行速度，而且编程复杂度也很高！ 2009-7-28 19:55 0
月下听禅雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	月下听禅 15 楼这样感觉编程好复杂了啊。本来API编程就是隐藏底层代码的。这样的话，写代码就累死了。。。。。 2009-7-28 20:19 0
兔兔冷雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 0 关注私信	兔兔冷 16 楼学习一下，支持了！ 2009-7-28 22:18 0
jiaqiao 雪币： 200 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 28 粉丝 0 关注私信	jiaqiao 17 楼非常感谢贡献 2009-7-28 22:38 0
jackozoo 雪币： 1450 活跃值： (35) 能力值： (RANK：680 ) 在线值：发帖 50 回帖 775 粉丝 3 关注私信	jackozoo 14 18 楼现在很多病毒都是这么干的, 虽然IDA看不到API调用过程, 但是如果比较有规律的话, 可以写idc来处理. 你这里因为程序较简单, 是将地址表放在局部变量内. 一般病毒要用到很多API, 一般地址表实在全局变量. 所以调用时, 大多类似一下方式: mov R, [0040XXXX] ... ... //无关指令 ... call R 像这种就很有规律, 可以用idc处理. 2009-7-28 23:24 0
jackozoo 雪币： 1450 活跃值： (35) 能力值： (RANK：680 ) 在线值：发帖 50 回帖 775 粉丝 3 关注私信	jackozoo 14 19 楼另外, 通过比较函数名Hash而不是函数名字串可以更节省代码空间, 也更优美. 2009-7-28 23:26 0
hardcode 雪币： 208 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 16 粉丝 0 关注私信	hardcode 20 楼如果你把要隐藏的函数的hash算出来，硬编码到程序中，查找API名字的时候，通过比较API函数名的hash值，这样是不是会增加一些调试的难度？ 2009-7-29 09:53 0
mazhenxing 雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 23 粉丝 0 关注私信	mazhenxing 21 楼写的真不错。很好 2009-7-29 11:48 0
seesth 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 40 粉丝 0 关注私信	seesth 22 楼学习了，谢谢分享。 2009-7-29 14:45 0
menting 雪币： 1657 活跃值： (291) 能力值： ( LV9，RANK：610 ) 在线值：发帖 67 回帖 319 粉丝 4 关注私信	menting 14 23 楼不是我说LZ，你这个基本作用不大，隐藏的API只要留意一下就能看出来，前提是熟悉API啊，因为常规的一些API，看习惯了，很容易根据参数就能一眼看出来，是那个API，即使看不出来，也能知道API是那类的，如果调试的话，你那个没作用，姑且不说能不能调试，就算不能调试，这样的也可以根据整体代码的流程来看出来，比如：前面都注册窗口了，下面的个函数被LZ隐藏了，但是习惯性的就知道下面一个函数是创建窗口，在根据参数一看，几乎98%确定，我基本上拿OD看汇编，IDA只看流程，所以，LZ的方法，基本上作用不大，再说了，就算拿IDA看，IDA只是相关的参考，仔细分析一下，还是可以发现被隐藏的。再说了，LZ这个思路到是不错的，但是，这样做如果真一个个去隐藏，确实很麻烦，而又耗时。 2009-7-29 15:20 0
王小攀雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 21 粉丝 0 关注私信	王小攀 24 楼学习了，呵呵 2009-7-29 23:44 0
Pan88168 雪币： 463 活跃值： (116) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 1103 粉丝 8 关注私信	Pan88168 25 楼都不看标题的.. 人家说是简单对付静态分析.,不用IDA,难道还有比IDA更强的分析工具? 用OD的人都买块砖头拍自己头吧. 2009-8-1 11:20 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

DebugFan

发帖

回帖

140

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (38) 1 2 ▶
yingyue 雪币： 1844 活跃值： (35) 能力值： ( LV3，RANK：30 ) 在线值：发帖 16 回帖 2595 粉丝 3 关注私信	yingyue 2 楼你这样没用的，我相信没有任何人会只用 IDA 看程序的，动静合一就连几百年前的武术都知道这个道理人家一个 f9 就可以看到不该看的地方 2009-7-25 19:31 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 3 楼心得写的很好. 谢谢分享~~~ 2009-7-25 23:06 0
HotPower 雪币： 129 活跃值： (1095) 能力值： ( LV2，RANK：10 ) 在线值：发帖 89 回帖 472 粉丝 8 关注私信	HotPower 4 楼用COM接口技术会好些的，可以给反汇编增加难度。 2009-7-25 23:09 0
loway 雪币： 227 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 63 粉丝 0 关注私信	loway 5 楼如果到了最后还是完整的解密的话那么用OD运行之后不就全都看到了吗？ 2009-7-26 01:30 0
cntrump 雪币： 1708 活跃值： (586) 能力值： ( LV15，RANK：670 ) 在线值：发帖 204 回帖 2062 粉丝 19 关注私信	cntrump 13 6 楼加密后就不信你不解密,在你解密的时候我再K你 2009-7-26 09:59 0
DebugFan 雪币： 97 活跃值： (30) 能力值： ( LV2，RANK：140 ) 在线值：发帖 6 回帖 41 粉丝 2 关注私信	DebugFan 3 7 楼呵呵,我这个旨在对付静态分析.那个SMC没有嵌套,也没有Anti-Debug,要对付它,那比捏死一只蚂蚁还容易. 2009-7-26 17:48 0
Fido 雪币： 107 活跃值： (404) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 1019 粉丝 1 关注私信	Fido 8 楼对初学者应当很受用 2009-7-28 09:50 0
chupch 雪币： 263 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 9 粉丝 0 关注私信	chupch 9 楼思想重要，思想重要~ 2009-7-28 10:46 0
HSQ 雪币： 381 活跃值： (140) 能力值： ( LV13，RANK：330 ) 在线值：发帖 36 回帖 332 粉丝 7 关注私信	HSQ 8 10 楼这种隐藏方式以前也用汇编实现过，对静态的还算有点效果，可拿OD一跟进去，或用API监视工具，最后还是会暴露无疑的。即使自己弄个该功能的引擎，其效果还不如拿VMProtect之类的加壳工具搞定了事，总之个人认为效果不是很好，没有深究的念头 2009-7-28 11:07 0
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 610 粉丝 0 关注私信	nkspark 3 11 楼牛~~~~~~~ 2009-7-28 11:16 0
yugi 雪币： 222 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 21 粉丝 0 关注私信	yugi 12 楼学习了还用 scm 呀不错 2009-7-28 11:30 0
Cyane 雪币： 388 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 232 粉丝 0 关注私信	Cyane 1 13 楼学习想法很好 2009-7-28 17:25 0
woami 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	woami 14 楼谢谢，学习了，但是这种方法，如果软件稍微大一点会不会影响运行速度，而且编程复杂度也很高！ 2009-7-28 19:55 0
月下听禅雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	月下听禅 15 楼这样感觉编程好复杂了啊。本来API编程就是隐藏底层代码的。这样的话，写代码就累死了。。。。。 2009-7-28 20:19 0
兔兔冷雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 0 关注私信	兔兔冷 16 楼学习一下，支持了！ 2009-7-28 22:18 0
jiaqiao 雪币： 200 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 28 粉丝 0 关注私信	jiaqiao 17 楼非常感谢贡献 2009-7-28 22:38 0
jackozoo 雪币： 1450 活跃值： (35) 能力值： (RANK：680 ) 在线值：发帖 50 回帖 775 粉丝 3 关注私信	jackozoo 14 18 楼现在很多病毒都是这么干的, 虽然IDA看不到API调用过程, 但是如果比较有规律的话, 可以写idc来处理. 你这里因为程序较简单, 是将地址表放在局部变量内. 一般病毒要用到很多API, 一般地址表实在全局变量. 所以调用时, 大多类似一下方式: mov R, [0040XXXX] ... ... //无关指令 ... call R 像这种就很有规律, 可以用idc处理. 2009-7-28 23:24 0
jackozoo 雪币： 1450 活跃值： (35) 能力值： (RANK：680 ) 在线值：发帖 50 回帖 775 粉丝 3 关注私信	jackozoo 14 19 楼另外, 通过比较函数名Hash而不是函数名字串可以更节省代码空间, 也更优美. 2009-7-28 23:26 0
hardcode 雪币： 208 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 16 粉丝 0 关注私信	hardcode 20 楼如果你把要隐藏的函数的hash算出来，硬编码到程序中，查找API名字的时候，通过比较API函数名的hash值，这样是不是会增加一些调试的难度？ 2009-7-29 09:53 0
mazhenxing 雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 23 粉丝 0 关注私信	mazhenxing 21 楼写的真不错。很好 2009-7-29 11:48 0
seesth 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 40 粉丝 0 关注私信	seesth 22 楼学习了，谢谢分享。 2009-7-29 14:45 0
menting 雪币： 1657 活跃值： (291) 能力值： ( LV9，RANK：610 ) 在线值：发帖 67 回帖 319 粉丝 4 关注私信	menting 14 23 楼不是我说LZ，你这个基本作用不大，隐藏的API只要留意一下就能看出来，前提是熟悉API啊，因为常规的一些API，看习惯了，很容易根据参数就能一眼看出来，是那个API，即使看不出来，也能知道API是那类的，如果调试的话，你那个没作用，姑且不说能不能调试，就算不能调试，这样的也可以根据整体代码的流程来看出来，比如：前面都注册窗口了，下面的个函数被LZ隐藏了，但是习惯性的就知道下面一个函数是创建窗口，在根据参数一看，几乎98%确定，我基本上拿OD看汇编，IDA只看流程，所以，LZ的方法，基本上作用不大，再说了，就算拿IDA看，IDA只是相关的参考，仔细分析一下，还是可以发现被隐藏的。再说了，LZ这个思路到是不错的，但是，这样做如果真一个个去隐藏，确实很麻烦，而又耗时。 2009-7-29 15:20 0
王小攀雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 21 粉丝 0 关注私信	王小攀 24 楼学习了，呵呵 2009-7-29 23:44 0
Pan88168 雪币： 463 活跃值： (116) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 1103 粉丝 8 关注私信	Pan88168 25 楼都不看标题的.. 人家说是简单对付静态分析.,不用IDA,难道还有比IDA更强的分析工具? 用OD的人都买块砖头拍自己头吧. 2009-8-1 11:20 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复