首页
社区
课程
招聘
铸造外壳
发表于: 2005-1-15 10:48 6761

铸造外壳

2005-1-15 10:48
6761

说一个简单的方案

重建 DOS Stub( 换一个小/标准的 Stub ), 可以减少一定体积

计算 SizeOfHeaders = Dos Stub Size(PE 前面都算) + PE Header Size(0F8h)
                     + Section Table Size(28h*NumberOfSections)
NumberOfSections可以根据需要+1预留出壳段

修正 SizeOfHeaders, 按 FileAlignment 对齐算作第一个段的Offset

有效化PE, 按 SectionAlignment 对齐 RVA & VSize
          按 FileAlignment 对齐 Offset & RSize

读取最后一个段 Offset + RSize 处到文件尾的数据, 视为附加数据(Overlays)
(可能没有Overlays)

根据上述信息组合一个文件:

DOS Stub + PE Header + Section Table + Sections + [先不要加Overlays, 还要加段]

把重要的信息如ImportTableRva, RelocRva, ...保存起来

把不能压缩的东西如Resource(重建目录,修改一部分指针到复制出来的资源上), Exports(复制就行,记得把里面的Addresses地址修正), Tls(复制, 18h字节)写入文件尾(作为新段开头)

合成外壳用的输入表, 为了兼容win2k之类无imports不能载入者,可以只有一个引入函数ExitProcess,也可以用GetModuleHandleA,GetProcAddress,取地址的最好还是自己写

把外壳加密,用变形引擎或者SMC一下.

加密原来所有的段,把外壳代码写到新段去.

修改入口点指向外壳入口.修改Exports,Rsrc,Imports入口

最后把你的Overlays写上.


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 7
支持
分享
最新回复 (10)
雪    币: 93
活跃值: (117)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
y2k
2
简洁,明了。好!
2005-1-15 10:52
0
雪    币: 209
活跃值: (55)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
说起来挺容易的:D
2005-1-15 11:07
0
雪    币: 209
活跃值: (40)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
看后有点明白壳的原理了!
2005-1-15 12:40
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
挺容易的。好!
2005-1-16 13:08
0
雪    币: 161
活跃值: (231)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
6
高手,什么时候放个例子出来啊。
2005-1-16 23:18
0
雪    币: 97697
活跃值: (200824)
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
7
最初由 forgot 发布
说一个简单的方案

重建 DOS Stub( 换一个小/标准的 Stub ), 可以减少一定体积

计算 SizeOfHeaders = Dos Stub Size(PE 前面都算) + PE Header Size(0F8h)
........


精辟简洁!
2005-1-17 01:02
0
雪    币: 603
活跃值: (617)
能力值: ( LV12,RANK:660 )
在线值:
发帖
回帖
粉丝
8
谢谢,正需要!
2005-1-17 11:33
0
雪    币: 427
活跃值: (412)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
这个思路不就是MR多态壳的思路嘛,官方有完整代码.:D
2005-1-17 15:08
0
雪    币: 207
活跃值: (40)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
最初由 鸡蛋壳 发布
这个思路不就是MR多态壳的思路嘛,官方有完整代码.:D

搜不到资料!
2005-1-17 15:56
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
不太明白,看来得学学PE知识了
2005-1-27 20:41
0
游客
登录 | 注册 方可回帖
返回
//