[原创]软件保护壳技术专题 - 变形引擎的构建-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]软件保护壳技术专题 - 变形引擎的构建

发表于: 2009-8-16 15:34 24929

[原创]软件保护壳技术专题 - 变形引擎的构建

玩命

2009-8-16 15:34

24929

变形引擎的构建
<YY>
    好久没有更新文章了。今年工作太忙，确实没有时间来发贴。有些朋友问我，专题会不会成为“太监”
按照我耐磨的性格，应该不会。
<目录>
0.哪些部分需要变形?
1.聊一聊花指令的构建
  1.1产生随机寄存器
  1.2产生随机的清0
  1.3产生随机的JMP
  1.4产生异常
  1.5利用MODRM/SIB
2.构建解密头
3.另一种变形
4.又是另一种变形
5.强调些东西
<内容>
0.哪些部分需要变形
壳的变形技术主要来自于病毒。病毒变形主要目的为了躲避杀毒软件的查杀。壳的变形也无非是这个。当然还有
目的是为了延长破解时间。消耗Cracker的精力。
现在我们来看一个经典的变形结构。也确认哪部分是用来变形的
壳加载段
----------
解密头
壳主体被加密的部分
密钥储存
----------
大多数情况下。壳加载器的结构就是这三个部分。解密头对壳主体进行解密后再跳入到壳主体进行运行
这里就可以很明显的看出壳主体是很容易进行变形的。只要每次加密的密钥不一样最后的队列肯定不一样
现在解密头是固定的。所以这里是最需要进行变形的。
以上这个结构绝对是经典多态的结构。再复杂的变形也是从以上这个简单的结构开始的。下面看一段简单的CODE

call delta
delta:
pop esi
add esi, offset Packet - offset delta
mov edi, esi
mov ecx, offset Decoder - offset Packet
mov eax, esi
add eax, offset Decoder - offset Packet
mov bl, byte ptr [eax]
@@:
lodsb
xor al, bl
stosb
loop @B
;; 这里解密后直接进去壳主体
Packet:
;........壳主体
Decoder:
db 099h

const DWORD Registry_Eax = 0x00;
const DWORD Registry_Ecx = 0x01;
const DWORD Registry_Edx = 0x02;
const DWORD Registry_Ebx = 0x03;
const DWORD Registry_Esp = 0x04;
const DWORD Registry_Ebp = 0x05;
const DWORD Registry_Esi = 0x06;
const DWORD Registry_Edi = 0x07;
const DWORD Registry_MaxCount = 0x08;
while (bR0 == Registry_Esp) bR0 = (BYTE)(lrand() % Registry_MaxCount);
// bR0是选取的寄存器,lrand是随机函数

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・20

免费・7

支持

最新回复 (39) 1 2 ▶
小子贼野雪币： 347 活跃值： (30) 能力值： ( LV9，RANK：420 ) 在线值：发帖 25 回帖 891 粉丝 0 关注私信	小子贼野 10 2 楼沙发继续等待某人的XXXX 2009-8-16 18:38 0
jordanpz 雪币： 34 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 344 粉丝 0 关注私信	jordanpz 3 楼最後一句是什麼意思？是不是要封笔？希望楼主再接再厉，有始有终，不管多长时间，都会等，经典的不需要用更新速度来衡量 2009-8-16 22:02 0
SJQIANG 雪币： 179 活跃值： (26) 能力值： ( LV7，RANK：100 ) 在线值：发帖 12 回帖 231 粉丝 0 关注私信	SJQIANG 2 4 楼哇，玩命大侠又出江湖了。前排就坐，学习。 2009-8-16 22:21 0
nimda 雪币： 197 活跃值： (52) 能力值： ( LV5，RANK：70 ) 在线值：发帖 4 回帖 56 粉丝 1 关注私信	nimda 1 5 楼又要玩命了？ 2009-8-17 22:28 0
XSJS 雪币： 152 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 436 粉丝 1 关注私信	XSJS 6 楼太牛逼了，先占位学习一个先 2009-8-17 22:32 0
kanxue 雪币： 47147 活跃值： (20450) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 541 关注私信	kanxue 8 7 楼够玩命的支持软件保护壳技术专题在年底前完成，以便收录到论坛精华10 中去。 2009-8-17 22:34 0
linhanshi 雪币： 97697 活跃值： (200829) 能力值： (RANK：10 ) 在线值：发帖 9249 回帖 27947 粉丝 453 关注私信	linhanshi 8 楼 Support. 2009-8-17 22:51 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 9 楼完了，cm大赛会有人用你代码参战了 2009-8-17 23:10 0
himcrack 雪币： 264 活跃值： (11) 能力值： ( LV9，RANK：250 ) 在线值：发帖 8 回帖 194 粉丝 1 关注私信	himcrack 6 10 楼学习每期必看看来精华10也是必须要收藏的 2009-8-17 23:24 0
冷血书生雪币： 443 活跃值： (200) 能力值： ( LV9，RANK：1140 ) 在线值：发帖 53 回帖 1135 粉丝 2 关注私信	冷血书生 28 11 楼支持！！！！ 2009-8-17 23:44 0
我是土匪雪币： 546 活跃值： (1667) 能力值： ( LV12，RANK：210 ) 在线值：发帖 75 回帖 787 粉丝 7 关注私信	我是土匪 4 12 楼学习了。这个绝对是好贴。 2009-8-18 00:57 0
峰回路转雪币： 647 活跃值： (564) 能力值： ( LV8，RANK：130 ) 在线值：发帖 8 回帖 128 粉丝 1 关注私信	峰回路转 3 13 楼强大无比，lz实力太强了只能膜拜 2009-8-18 08:16 0
yuansunxue 雪币： 1024 活跃值： (240) 能力值： ( LV12，RANK：310 ) 在线值：发帖 26 回帖 267 粉丝 1 关注私信	yuansunxue 6 14 楼膜拜之 2009-8-18 08:29 0
cntrump 雪币： 1708 活跃值： (586) 能力值： ( LV15，RANK：670 ) 在线值：发帖 204 回帖 2062 粉丝 19 关注私信	cntrump 13 15 楼 KanXue终于透露了，在年底出精华10 2009-8-18 09:10 0
lijingli 雪币： 235 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 91 粉丝 0 关注私信	lijingli 16 楼第一页 2009-8-18 09:49 0
kkblue 雪币： 231 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 49 粉丝 0 关注私信	kkblue 17 楼玩命果然强悍.精神可嘉 2009-8-18 14:07 0
zyfnhct 雪币： 124 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 50 粉丝 0 关注私信	zyfnhct 18 楼玩命大哥终于重出江湖了，支持 2009-8-18 14:18 0
小原雪币： 306 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 57 粉丝 0 关注私信	小原 19 楼惊现玩命 2009-8-18 22:15 0
childz 雪币： 138 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 115 粉丝 0 关注私信	childz 20 楼牛人！！ 2009-8-19 01:10 0
Ivanov 雪币： 1334 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 226 回帖 1054 粉丝 2 关注私信	Ivanov 21 楼我说最近看不到你,原来准备进宫了,哈 2009-8-19 08:49 0
moonife 雪币： 370 活跃值： (52) 能力值： ( LV13，RANK：350 ) 在线值：发帖 133 回帖 852 粉丝 5 关注私信	moonife 8 22 楼学习期待谢谢玩命 2009-8-19 12:49 0
HSQ 雪币： 381 活跃值： (140) 能力值： ( LV13，RANK：330 ) 在线值：发帖 36 回帖 332 粉丝 7 关注私信	HSQ 8 23 楼膜拜+学习 2009-8-19 13:12 0
pcasa 雪币： 105 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 21 回帖 133 粉丝 0 关注私信	pcasa 2 24 楼不错,学习中 2009-8-19 22:04 0
popeylj 雪币： 360 活跃值： (77) 能力值： ( LV9，RANK：250 ) 在线值：发帖 133 回帖 865 粉丝 1 关注私信	popeylj 6 25 楼强大，支持玩命 2009-8-19 23:15 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

玩命

发帖

456

回帖

1290

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (39) 1 2 ▶
小子贼野雪币： 347 活跃值： (30) 能力值： ( LV9，RANK：420 ) 在线值：发帖 25 回帖 891 粉丝 0 关注私信	小子贼野 10 2 楼沙发继续等待某人的XXXX 2009-8-16 18:38 0
jordanpz 雪币： 34 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 344 粉丝 0 关注私信	jordanpz 3 楼最後一句是什麼意思？是不是要封笔？希望楼主再接再厉，有始有终，不管多长时间，都会等，经典的不需要用更新速度来衡量 2009-8-16 22:02 0
SJQIANG 雪币： 179 活跃值： (26) 能力值： ( LV7，RANK：100 ) 在线值：发帖 12 回帖 231 粉丝 0 关注私信	SJQIANG 2 4 楼哇，玩命大侠又出江湖了。前排就坐，学习。 2009-8-16 22:21 0
nimda 雪币： 197 活跃值： (52) 能力值： ( LV5，RANK：70 ) 在线值：发帖 4 回帖 56 粉丝 1 关注私信	nimda 1 5 楼又要玩命了？ 2009-8-17 22:28 0
XSJS 雪币： 152 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 436 粉丝 1 关注私信	XSJS 6 楼太牛逼了，先占位学习一个先 2009-8-17 22:32 0
kanxue 雪币： 47147 活跃值： (20450) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 541 关注私信	kanxue 8 7 楼够玩命的支持软件保护壳技术专题在年底前完成，以便收录到论坛精华10 中去。 2009-8-17 22:34 0
linhanshi 雪币： 97697 活跃值： (200829) 能力值： (RANK：10 ) 在线值：发帖 9249 回帖 27947 粉丝 453 关注私信	linhanshi 8 楼 Support. 2009-8-17 22:51 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 9 楼完了，cm大赛会有人用你代码参战了 2009-8-17 23:10 0
himcrack 雪币： 264 活跃值： (11) 能力值： ( LV9，RANK：250 ) 在线值：发帖 8 回帖 194 粉丝 1 关注私信	himcrack 6 10 楼学习每期必看看来精华10也是必须要收藏的 2009-8-17 23:24 0
冷血书生雪币： 443 活跃值： (200) 能力值： ( LV9，RANK：1140 ) 在线值：发帖 53 回帖 1135 粉丝 2 关注私信	冷血书生 28 11 楼支持！！！！ 2009-8-17 23:44 0
我是土匪雪币： 546 活跃值： (1667) 能力值： ( LV12，RANK：210 ) 在线值：发帖 75 回帖 787 粉丝 7 关注私信	我是土匪 4 12 楼学习了。这个绝对是好贴。 2009-8-18 00:57 0
峰回路转雪币： 647 活跃值： (564) 能力值： ( LV8，RANK：130 ) 在线值：发帖 8 回帖 128 粉丝 1 关注私信	峰回路转 3 13 楼强大无比，lz实力太强了只能膜拜 2009-8-18 08:16 0
yuansunxue 雪币： 1024 活跃值： (240) 能力值： ( LV12，RANK：310 ) 在线值：发帖 26 回帖 267 粉丝 1 关注私信	yuansunxue 6 14 楼膜拜之 2009-8-18 08:29 0
cntrump 雪币： 1708 活跃值： (586) 能力值： ( LV15，RANK：670 ) 在线值：发帖 204 回帖 2062 粉丝 19 关注私信	cntrump 13 15 楼 KanXue终于透露了，在年底出精华10 2009-8-18 09:10 0
lijingli 雪币： 235 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 91 粉丝 0 关注私信	lijingli 16 楼第一页 2009-8-18 09:49 0
kkblue 雪币： 231 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 49 粉丝 0 关注私信	kkblue 17 楼玩命果然强悍.精神可嘉 2009-8-18 14:07 0
zyfnhct 雪币： 124 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 50 粉丝 0 关注私信	zyfnhct 18 楼玩命大哥终于重出江湖了，支持 2009-8-18 14:18 0
小原雪币： 306 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 57 粉丝 0 关注私信	小原 19 楼惊现玩命 2009-8-18 22:15 0
childz 雪币： 138 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 115 粉丝 0 关注私信	childz 20 楼牛人！！ 2009-8-19 01:10 0
Ivanov 雪币： 1334 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 226 回帖 1054 粉丝 2 关注私信	Ivanov 21 楼我说最近看不到你,原来准备进宫了,哈 2009-8-19 08:49 0
moonife 雪币： 370 活跃值： (52) 能力值： ( LV13，RANK：350 ) 在线值：发帖 133 回帖 852 粉丝 5 关注私信	moonife 8 22 楼学习期待谢谢玩命 2009-8-19 12:49 0
HSQ 雪币： 381 活跃值： (140) 能力值： ( LV13，RANK：330 ) 在线值：发帖 36 回帖 332 粉丝 7 关注私信	HSQ 8 23 楼膜拜+学习 2009-8-19 13:12 0
pcasa 雪币： 105 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 21 回帖 133 粉丝 0 关注私信	pcasa 2 24 楼不错,学习中 2009-8-19 22:04 0
popeylj 雪币： 360 活跃值： (77) 能力值： ( LV9，RANK：250 ) 在线值：发帖 133 回帖 865 粉丝 1 关注私信	popeylj 6 25 楼强大，支持玩命 2009-8-19 23:15 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复