一个给新手进阶的IAT加密壳
前言
上篇文章( 一份专供初学者食用的AES加密壳 )中我们分析了一个简单的AES壳的加壳与解壳的过程,在加壳的过程中,直接将源程序加密后,追加到壳的最后一个节当中,这种壳可被秒脱。所以这节在之前的基础上进阶,加大解壳的难度,进行IAT表的加密。
这篇文章中介绍了IAT加壳与解壳的全过程,并用Ollydbg进行逆向分析,说明这个壳的鸡肋的之处,最后给出了核心源代码。
必备基础
必须很熟悉PE结构,特别是导入表的双桥结构。
IAT(Import Address Table),导入地址表。
节就是区段,区段就是节,但节和节表不是同一个概念。
RVA 相对(基址ImageBase)虚拟地址。
VA 虚拟地址。
实验环境:WIN10 、VS2017、DIE(Detect it Easy)、Ollydbg
PS:这里还不需要了解混淆、花指令、反调试等技术,掌握了上面提到的基础,新手就可以放心阅读了。
IAT加解壳的主要步骤
一、加壳步骤
1、打开源程序 2、加载 Packer.dll 3、AES加密所有区段 4、清除目录表 5、添加新区段 6、修复重定位表 7、保存源程序的OEP 8、将 packer.dll 的 .text 段 拷贝到 .NewSec 段里 9、修改OEP为 Packer.dll函数入口点在.NewSec 段中的RVA 10、去掉随机基址 11、保存被加壳的程序
加壳完成。
示意图如下(从左到右是大致的加壳过程):图片仅供参考。
二、解壳步骤
解壳的步骤都封装在Packer.dll中,我们来解剖一下它。
1、动态获取函数的API地址 2、AES解密所有区段 3、恢复目录表 4、修复IAT表 5、密码验证对话框弹出 6、加密IAT表 7、跳转到原始OEP
解壳完成。
示意图如下(从左到右是大致的解壳过程):图片仅供参考。
IAT加解壳之3问3知
一、加壳之3问3知
1、为什么要加密所有区段 & 清楚目录项呢?
那当然是为了防止别人分析PE文件,达到保护PE文件的目的。
2、为什么要添加新节?添加新节后,为何要修复重定位表?
如果PE文件不增加新节,也可以在其他空白区添加代码。但是这样会有两个不妙的情况:
(1)空白区根本放不下你的代码,
(2)即使空白区能放得下你的代码,可能空白区的节属性不能执行,修改属性,可能会导致程序执行出错。
明白了新增节的作用,也就知道为啥我们要把Packer.dll的 .text段拷贝到 .NewSec段了:
(1) .NewSec段是我们自己添加的,大小自己定。
(2)放在新节里,目的是让Packer.dll被执行起来,直接加载到主进程空间是不会运行的,需要获取主进程的控制权。在 .NewSec段 我们可以让节”RWE(可读、可写、可执行)”,这样才能让shellcode执行起来。
3、为什么要去掉随机基址?
观察这段嵌入汇编:
//跳转到原始OEP __asm { mov eax, g_conf.srcOep; //跳转到源程序的OEP add eax,0x400000 //srcOep将RVA-->VA ,加上基址0x400000,所以选择的源程序需要选择0x400000,否则会水土不服 jmp eax }
在Packer.dll的入口函数Start()中,我采用固定基址0×400000的方法来计算src OEP的RV,也就是这段shellcode利用成功的前提要确定一个明确的跳转地址。无论是JMP ESP 等通用跳板指令还是Ret2Libc 使用的各指令,我们都要先确定这条指令的入口点。所谓惹不起躲得起,微软的ASLR(Address Space Layout Randomization)技术就是通过加载程序的时候不再使用固定的基址加载,从而干扰shellcode 定位的一种保护机制。
——引自《0day漏洞.软件漏洞分析技术(第二版)》
二、解壳之3问3知
1、为什么要动态获取函数的API地址?
通常我们使用windwos API都是直接获取IAT表中的函数地址,而这里的情况比较特殊:后面需要对IAT表进行加密,加了密后就不能从IAT表里获取函数地址。
附上一张IAT的表回顾一下:
那么有啥办法可以获取到函数地址呢?
常用的办法:1、LoadLibrary(),然后 GetMoudleName() 2、动态加载
我这里用的是第2种办法,为啥呢?
对于方法1:加载进来后,调用的方法是 [0x12345678] 的形式,这是全局变量的调用方式,当需要重定位的时候,访问这个地址会出错。
对于方法2:动态的方式获取API的地址,兼容性好。获取的方式有3种:(1)利用PEB结构来查找 (2)利用堆栈暴力搜索 (3)使用SEH的链表来查找。
这里利用PEB结构来查找API的方式,接下来是动态获取API的代码,代码中有详细的解释:
_asm { pushad; ; //获取kernel32.dll的加载基址; ;// 1. 找到PEB的首地址; mov eax, fs:[0x30]; //fs偏移0x30处为peb的首地址, fs为段寄存器 ;// 2. 得到PEB_LDR_DATA的值; mov eax, [eax + 0ch]; //在PEB偏移的0x0c处是指向PEB_LDR_DATA结构的指针 mov eax, [eax + 0ch]; //eax = > PEB.Ldr的值; ; //3. 得到_PEB_LDR_DATA.InLoadOrderMoudleList.Flink的值, 实际得到的就是主模块节点的首地址; mov eax, [eax]; //eax = > _PEB_LDR_DATA.InLoadOrderMoudleList.Flink(NTDLL); ; //4. 再获取下一个; mov eax, [eax]; _LDR_DATA_TABLE_ENTRY.InLoadOrderMoudleList.Flink(kernel32), ; mov eax, [eax + 018h]; _LDR_DATA_TABLE_ENTRY.DllBase; mov hKernel32, eax;; ; //遍历导出表; ;// 1.依次获取:dos头、 nt头、 扩展头、 数据目录表; mov ebx, [eax + 03ch]; //偏移到NT头; add ebx, eax; // NT头的首地址; add ebx, 078h; //引出表偏移 ; //2. 得到导出表的RVA; mov ebx, [ebx]; add ebx, eax; //ebx = 导出表首地址(VA); ; //3. 遍历名称表找到GetProcAddress; ; //3.1 找到名称表的首地址; lea ecx, [ebx + 020h]; //ebx=函数名地址,AddressOfName mov ecx, [ecx]; // ecx =名称表的首地址(RVA); add ecx, eax; // ecx =名称表的首地址(VA); xor edx, edx; // 作为index来使用. ; //3.2 遍历名称表; _WHILE:; mov esi, [ecx + edx * 4]; //esi= 名称的RVA; lea esi, [esi + eax];// esi =名称首地址; cmp dword ptr[esi], 050746547h; 47657450 726F6341 64647265 7373; //dword: 'PteG' 、'rocA' 、'ddre' 、'ss' =>GetProcAddress,如果是GetProcAddress,表示在AddressOfName中找到了 jne _LOOP; cmp dword ptr[esi + 4], 041636f72h; jne _LOOP; cmp dword ptr[esi + 8], 065726464h; jne _LOOP; cmp word ptr[esi + 0ch], 07373h; jne _LOOP; ; //找到GetProcAddress后; mov edi, [ebx + 024h]; // edi = 函数序号(RVA); add edi, eax; mov di, [edi + edx * 2]; //ecx=计算出序号值,序号表是2字节的元素, 因此是 * 2; and edi, 0FFFFh; //edi=GetProcAddress在地址表中的下标; ; //得到地址表首地址; mov edx, [ebx + 01ch]; //edx = 地址表的RVA; add edx, eax; //edx = 地址表的VA; mov edi, [edx + edi * 4]; //edi = GetProcAddress的RVA; add edi, eax; ; //edx = GetProcAddress的VA; mov MyGetProcAddress, edi; jmp _ENDWHILE; _LOOP:; inc edx; // ++index; jmp _WHILE; //跳转 _ENDWHILE:; popad; //平衡堆栈 }
2、为什么要选择加密IAT表?
个人从攻防的角度来思考,原因有2:
(1)对IAT表的函数地址加密后,API就不能一下子看得出来了(比如说Ollydbg就解析不出来dll名),增大逆向分析PE的难度。
(2)AT表PE程序动态执行依赖的dll,加了密之后,恶意代码也就不能用我们的IAT表来使坏了,这也是对程序的一种保护。
3、如何对IAT进行加解密?
IAT加解密原理如下:
(1)遍历导入表获取IAT表里的每个函数地址
(2)取出IAT的函数地址,该函数地址异或 0×12345678,得到加密后的地址
(3)申请一段内存,存放解密后的地址,然后调用该地址的代码。
(4)把申请的内存地址放入IAT表对应表项中。
如此这般,IAT就被加密了。
我们再来仔细推敲一下步骤(3),NB的你可能早就发现:解密后的地址放在内存中,不做任何保护,恢复IAT表依然无障碍!!!
别着急,我们来看看这里的解密怎么处理?
(1)写一段具有迷惑性的代码,干扰逆向分析者对解密后地址的定位,也就是传说中的 混淆+花指令 操作。
(2) 动态解密 :在目标程序运行起来之后,动态地对代码段进行解密。
先运行一段代码、解密一部分的代码,然后再运行解密后的代码,循环直到解密完成。这种方式给逆向带来的挑战是:盯着运行着的代码及附近代码,同时又能兼顾隔得很远的加密状态的代码。
本人新手还是太菜了,现在只能理解 混淆+花指令 操作,代码如下:
_asm { push eax; mov eax, dwFunAddr; //未加密的函数地址 xor eax, 0x12345678; //eax = dwFunAddr 异或 0x15151515 mov dwEncryptFunAddr, eax; //dwEncryptFunAddr=eax pop eax; } // 3.构造一段花指令shellcode,用来解密函数地址 BYTE OpCode[] = { 0xE8, 0x01, 0x00, 0x00, //call 0x00, 0xE9, 0x58, 0xEB, //jmp 0x01, 0xE8, 0xB8, 0x85, //MOV EAX, 0xEE, 0xCB, 0x60, 0xEB, //JMP 0x01, 0x15, 0x35, 0x12,//ADC EAX, 0x34, 0x56, 0x78, 0xEB, //ADC EAX, 0x01, 0xFF, 0x50, 0xEB, //JMP SHORT 1F 0x02, 0xFF, 0x15, 0xC3 //CALL }; //把函数地址放到解密的OpCode里 OpCode[11] = dwEncryptFunAddr; // 0x85 假如:dwEncryptFunAddr = 0x12345678 OpCode[12] = dwEncryptFunAddr >> 0x08;// 0xEE 十六进制右移8位刚好截掉低位的2位 0x00123456 OpCode[13] = dwEncryptFunAddr >> 0x10;// 0xCB 十六进制右移16位刚好截掉低位的4位 0x00001234 OpCode[14] = dwEncryptFunAddr >> 0x18;// 0x60 十六进制右移16位刚好截掉低位的4位 0x00001234
Ollydbg逆向分析IAT加密壳
我们先用工具(DiE、importREC)来尝试一下侦壳、脱壳,然后再用Ollydbg分析一下。
未知壳信息
导入表修复失败
从壳的入口点F7跳进去,进入壳的Start()入口函数
真正的入口点,由于这个壳在入口处没加反调试、花指令保护,所以原始程序的OEP一眼就看得到
F4 跳到密码验证弹框处
输入密码123 验证,断下;再F7进入IAT加密
F7跳到真正的AT函数地址加密的地方,看见一堆花指令
解密密钥藏在花指令的这里
这是shellcode解密函数地址的地方
观察加密前和加密后eax的值:
看完了分析,是不是觉得没加保护的壳很鸡肋呢?只要nop填充密码验证弹框和IAT加密,轻而易举就绕过了壳到达真正的程序入口。
在这个基础上,我们该如何去隐藏我们这个入口呢?带着这个问题,和我一样的新手小菜就可以进一步进阶,做出更安全的壳了。
最后我还想说,其实加壳与解壳拼的就是谁对PE更了解,所以掌握基础还是至关重要的。
核心代码
一、加壳
#include#include #include "PeFileOperator.h" #include int main() { PeFileOperator myPE;//PE文件操作类对象 char path[MAX_PATH] = "src.exe"; //1、打开被加壳程序 int nTargetSize = 0; char* pTargetBuff = myPE.GetFileData(path, &nTargetSize); //2、加载Packer.dll StubInfo packer = { 0 }; myPE.LoadStub(&packer); ///这里对IAT表已经加了密,具体查看packer的 Start() 函数 //3、加密所有区段 myPE.Encrypt(pTargetBuff, packer); //4、清除目录表 myPE.ClearDataDir(pTargetBuff, packer); //添加新节 char cNewSectionName[] = {".NewSec"};//新节表名 myPE.AddSection(pTargetBuff, nTargetSize, cNewSectionName, myPE.GetSection(packer.dllbase,".text")->Misc.VirtualSize); //修复重定位 myPE.FixStubRelocation((DWORD)packer.dllbase, myPE.GetSection(packer.dllbase,".text")->VirtualAddress, myPE.GetOptionHeader(pTargetBuff)->ImageBase, myPE.GetSection(pTargetBuff, cNewSectionName)->VirtualAddress); //保存目标文件的OEP到packer的全局变量中 //如果不知道为什么移步到这里看一下手动方式注入shellcode,修改OEP https://www.cnblogs.com/Erma/p/12593860.html packer.pStubConf->srcOep = myPE.GetOptionHeader(pTargetBuff)->AddressOfEntryPoint; //将packer.dll的代码段复制到新加的NewSec段中(注意:packer.dll也是个PE文件,主进程加载packer.dll时,作为一个模块附加在主程序的4GB地址空间) memcpy(myPE.GetSection(pTargetBuff, cNewSectionName)->PointerToRawData+pTargetBuff, myPE.GetSection(packer.dllbase,".text")->VirtualAddress+packer.dllbase, myPE.GetSection(packer.dllbase,".text")->Misc.VirtualSize); //修改OEP ( OEP = Start(RV)-dll加载基址)-段首RVA+新区段的段首RVA ) ,注意:packer.dll 加载进来是不会自己执行的,一定要获得控制权才可以 //Start(RV)-dll加载基址)-段首RVA: Start()在.text内的偏移 /////因为获取到的 start 函数的地址是在dll中的地址,现在这个区段被拷贝到了 /////被加壳程序中,所以需要重新计算 start 的 RVA 并设置为 OEP myPE.GetOptionHeader(pTargetBuff)->AddressOfEntryPoint = packer.pfnStart-(DWORD)packer.dllbase -myPE.GetSection(packer.dllbase,".text")->VirtualAddress +myPE.GetSection(pTargetBuff, cNewSectionName)->VirtualAddress; //去掉随机基址:利于shellcode的定位 具体解释见《0day安全:软件漏洞分析技术(第二版)》 myPE.GetOptionHeader(pTargetBuff)->DllCharacteristics &= (~0x40); //保存被加壳的程序 myPE.SavePEFile(pTargetBuff,nTargetSize,"AES.Packed.exe"); return 0; }
二、解壳
//************************************************************ // 函数名称: Start // 函数说明: dll的OEP // 参 数: void // 返 回 值: void //************************************************************ extern "C" __declspec(dllexport) __declspec(naked) void Start() { //获取函数的API地址 GetApis(); //解密所有区段 Decrypt(); //恢复数据目录表 RecoverDataDir(); //修复IAT FixImportTable(); //密码验证对话框弹出 AlertPasswdBox(); //加密IAT EncryptIAT(); //跳转到原始OEP __asm { mov eax, g_conf.srcOep; //跳转到源程序的OEP add eax,0x400000 //srcOep将RVA-->VA ,加上基址0x400000,所以选择的源程序需要选择0x400000,否则会水土不服 jmp eax } } //************************************************************ // 函数名称: Decrypt // 函数说明: 解密所有段 // 参 数: void // 返 回 值: void //************************************************************ void Decrypt() { //获取当前程序的基址 DWORD dwBase = (DWORD)pfnGetMoudleHandleA(NULL); AES aes(g_conf.key); //循环解密所有区段 DWORD old = 0; for (int i = 0; i < g_conf.index-1; i++) { //拿到所有区段的首地址和大小 unsigned char* pSection = (unsigned char*)g_conf.data[i][0]+ dwBase; DWORD dwSectionSize = g_conf.data[i][1]; //修改区段属性 MyVirtualProtect(pSection, dwSectionSize, PAGE_EXECUTE_READWRITE, &old); //解密代码段 aes.InvCipher(pSection, dwSectionSize); //把属性修改回去 MyVirtualProtect(pSection, dwSectionSize, old, &old); } } //************************************************************ // 函数名称: GetApis // 函数说明: 获取API函数地址 // 参 数: void // 返 回 值: void //************************************************************ void GetApis() { HMODULE hKernel32; _asm { pushad; ; //获取kernel32.dll的加载基址; ;// 1. 找到PEB的首地址; mov eax, fs:[0x30]; //fs偏移0x30处为peb的首地址, fs为段寄存器 ;// 2. 得到PEB_LDR_DATA的值; mov eax, [eax + 0ch]; //在PEB偏移的0x0c处是指向PEB_LDR_DATA结构的指针 mov eax, [eax + 0ch]; //eax = > PEB.Ldr的值; ; //3. 得到_PEB_LDR_DATA.InLoadOrderMoudleList.Flink的值, 实际得到的就是主模块节点的首地址; mov eax, [eax]; //eax = > _PEB_LDR_DATA.InLoadOrderMoudleList.Flink(NTDLL); ; //4. 再获取下一个; mov eax, [eax]; _LDR_DATA_TABLE_ENTRY.InLoadOrderMoudleList.Flink(kernel32), ; mov eax, [eax + 018h]; _LDR_DATA_TABLE_ENTRY.DllBase; mov hKernel32, eax;; ; //遍历导出表; ;// 1.依次获取:dos头、 nt头、 扩展头、 数据目录表; mov ebx, [eax + 03ch]; //偏移到NT头; add ebx, eax; // NT头的首地址; add ebx, 078h; //引出表偏移 ; //2. 得到导出表的RVA; mov ebx, [ebx]; add ebx, eax; //ebx = 导出表首地址(VA); ; //3. 遍历名称表找到GetProcAddress; ; //3.1 找到名称表的首地址; lea ecx, [ebx + 020h]; //ebx=函数名地址,AddressOfName mov ecx, [ecx]; // ecx =名称表的首地址(RVA); add ecx, eax; // ecx =名称表的首地址(VA); xor edx, edx; // 作为index来使用. ; //3.2 遍历名称表; _WHILE:; mov esi, [ecx + edx * 4]; //esi= 名称的RVA; lea esi, [esi + eax];// esi =名称首地址; cmp dword ptr[esi], 050746547h; 47657450 726F6341 64647265 7373; //dword: 'PteG' 、'rocA' 、'ddre' 、'ss' =>GetProcAddress,如果是GetProcAddress,表示在AddressOfName中找到了 jne _LOOP; cmp dword ptr[esi + 4], 041636f72h; jne _LOOP; cmp dword ptr[esi + 8], 065726464h; jne _LOOP; cmp word ptr[esi + 0ch], 07373h; jne _LOOP; ; //找到GetProcAddress后; mov edi, [ebx + 024h]; // edi = 函数序号(RVA); add edi, eax; mov di, [edi + edx * 2]; //ecx=计算出序号值,序号表是2字节的元素, 因此是 * 2; and edi, 0FFFFh; //edi=GetProcAddress在地址表中的下标; ; //得到地址表首地址; mov edx, [ebx + 01ch]; //edx = 地址表的RVA; add edx, eax; //edx = 地址表的VA; mov edi, [edx + edi * 4]; //edi = GetProcAddress的RVA; add edi, eax; ; //edx = GetProcAddress的VA; mov MyGetProcAddress, edi; jmp _ENDWHILE; _LOOP:; inc edx; // ++index; jmp _WHILE; //跳转 _ENDWHILE:; popad; //平衡堆栈 } //给函数指针变量赋值 //Kernel32 MyLoadLibraryA = (FnLoadLibraryA)MyGetProcAddress(hKernel32, "LoadLibraryA"); MyVirtualProtect = (FnVirtualProtect)MyGetProcAddress(hKernel32, "VirtualProtect"); pfnGetMoudleHandleA = (fnGetMoudleHandleA)MyGetProcAddress(hKernel32, "GetModuleHandleA"); pfnExitProcess = (fnExitProcess)MyGetProcAddress(hKernel32, "ExitProcess"); pfnVirtualAlloc = (FnVirtualAlloc)MyGetProcAddress(hKernel32, "VirtualAlloc"); pfnRtlMoveMemory = (FnRtlMoveMemory)MyGetProcAddress(hKernel32, "RtlMoveMemory"); //Use*** HMODULE hUse*** = (HMODULE)MyLoadLibraryA((char*)"use***.dll"); pfnRegisterClassEx = (fnRegisterClassEx)MyGetProcAddress(hUse***, "RegisterClassExW"); pfnCreateWindowEx = (fnCreateWindowEx)MyGetProcAddress(hUse***, "CreateWindowExW"); pfnUpdateWindow = (fnUpdateWindow)MyGetProcAddress(hUse***, "UpdateWindow"); pfnShowWindow=(fnShowWindow)MyGetProcAddress(hUse***, "ShowWindow"); pfnGetMessage=(fnGetMessage)MyGetProcAddress(hUse***, "GetMessageW"); pfnTranslateMessage=(fnTranslateMessage)MyGetProcAddress(hUse***, "TranslateMessage"); pfnDispatchMessageW =(fnDispatchMessageW)MyGetProcAddress(hUse***, "DispatchMessageW"); pfnGetWindowTextW =(fnGetWindowTextW)MyGetProcAddress(hUse***, "GetWindowTextW"); pfnSendMessageW =(fnSendMessageW)MyGetProcAddress(hUse***, "SendMessageW"); pfnDefWindowProcW =(fnDefWindowProcW)MyGetProcAddress(hUse***, "DefWindowProcW"); pfnPostQuitMessage =(fnPostQuitMessage)MyGetProcAddress(hUse***, "PostQuitMessage"); pfnFindWindowW =(fnFindWindowW)MyGetProcAddress(hUse***, "FindWindowW"); pfnMessageBoxW =(fnMessageBoxW)MyGetProcAddress(hUse***, "MessageBoxW"); pfnBeginPaint =(fnBeginPaint)MyGetProcAddress(hUse***, "BeginPaint"); pfnEndPaint =(fnEndPaint)MyGetProcAddress(hUse***, "EndPaint"); } //************************************************************ // 函数名称: AlertPasswdBox // 函数说明: 弹框:要求密码验证 // 参 数: void // 返 回 值: void //************************************************************ void AlertPasswdBox() { //注册窗口类 g_hInstance = (HINSTANCE)pfnGetMoudleHandleA(NULL); WNDCLASSEX ws; ws.cbSize = sizeof(WNDCLASSEX); ws.hInstance = g_hInstance; ws.hbrBackground = (HBRUSH)(COLOR_WINDOW+1); ws.hIcon = NULL; ws.hIconSm = NULL; ws.hCursor = NULL; ws.style = CS_VREDRAW | CS_HREDRAW; ws.lpszMenuName = NULL; ws.lpfnWndProc = (WNDPROC)WndPrco;//回调函数 ws.lpszClassName = TEXT("NewSec"); pfnRegisterClassEx(&ws); //创建窗口 HWND hWnd = pfnCreateWindowEx(0,TEXT("NewSec"),TEXT("密码验证对话框"), WS_OVERLAPPED|WS_VISIBLE, 100,100,400,200,NULL,NULL,g_hInstance,NULL); //更新窗口 //pfnUpdateWindow(hWnd); pfnShowWindow(hWnd, SW_SHOW); //消息处理 MSG msg = { 0 }; while (pfnGetMessage(&msg,NULL,NULL,NULL)) { pfnTranslateMessage(&msg); pfnDispatchMessageW(&msg); } } //设置属性可写 void SetFileHeaderProtect(bool nWrite) { //获取当前程序的加载基址 DWORD ImageBase = (DWORD)pfnGetMoudleHandleA(NULL); DWORD nOldProtect = 0; if (nWrite) MyVirtualProtect((LPVOID)ImageBase, 0x400, PAGE_EXECUTE_READWRITE, &nOldProtect); else MyVirtualProtect((LPVOID)ImageBase, 0x400, nOldProtect, &nOldProtect); } //************************************************************ // 函数名称: FixImportTable // 函数说明: 修复IAT // 参 数: void // 返 回 值: void //************************************************************ void FixImportTable() { //设置文件属性为可写 SetFileHeaderProtect(true); //获取当前程序的加载基址 DWORD ImageBase = (DWORD)pfnGetMoudleHandleA(NULL); IMAGE_THUNK_DATA* pInt = NULL; IMAGE_THUNK_DATA* pIat = NULL; SIZE_T impAddress = 0; HMODULEhImpModule = 0; DWORD dwOldProtect = 0; IMAGE_IMPORT_BY_NAME* pImpName = 0; if (!GetOptionHeader((char*)ImageBase)->DataDirectory[1].VirtualAddress)return; //导入表=导入表偏移+加载基址 IMAGE_IMPORT_DESCRIPTOR* pImp = (IMAGE_IMPORT_DESCRIPTOR*)(GetOptionHeader((char*)ImageBase)->DataDirectory[1].VirtualAddress + ImageBase); while (pImp->Name) { //IAT=偏移+基址 pIat = (IMAGE_THUNK_DATA*)(pImp->FirstThunk + ImageBase); if (pImp->OriginalFirstThunk == 0) // 如果不存在INT则使用IAT { pInt = pIat; } else { pInt = (IMAGE_THUNK_DATA*)(pImp->OriginalFirstThunk + ImageBase); } // 加载dll hImpModule = (HMODULE)MyLoadLibraryA((char*)(pImp->Name + ImageBase)); //导入函数地址 while (pInt->u1.Function) { //判断导入的方式、序号还是名称 if (!IMAGE_SNAP_BY_ORDINAL(pInt->u1.Ordinal)) { pImpName = (IMAGE_IMPORT_BY_NAME*)(pInt->u1.Function + ImageBase); impAddress = (SIZE_T)MyGetProcAddress(hImpModule, (char*)pImpName->Name); } else { impAddress = (SIZE_T)MyGetProcAddress(hImpModule, (char*)(pInt->u1.Function & 0xFFFF)); } MyVirtualProtect(&pIat->u1.Function, sizeof(pIat->u1.Function), PAGE_READWRITE, &dwOldProtect); pIat->u1.Function = impAddress; MyVirtualProtect(&pIat->u1.Function, sizeof(pIat->u1.Function), dwOldProtect, &dwOldProtect); ++pInt; ++pIat; } ++pImp; } SetFileHeaderProtect(false); } DWORD EncryptFun(DWORD dwFunAddr) { // 1.申请内存空间 DWORD dwNewMem = (DWORD)pfnVirtualAlloc(NULL, 0x20, MEM_COMMIT, PAGE_EXECUTE_READWRITE); // 2.加密函数地址 DWORD dwEncryptFunAddr = 0; _asm { push eax; mov eax, dwFunAddr; //未加密的函数地址 xor eax, 0x12345678; //eax = dwFunAddr 异或 0x15151515 mov dwEncryptFunAddr, eax; //dwEncryptFunAddr=eax pop eax; } // 3.构造一段花指令shellcode,用来解密函数地址 BYTE OpCode[] = { 0xE8, 0x01, 0x00, 0x00, //call 0x6 0x00, 0xE9, 0x58, 0xEB, //jmp 0xE801EB62 0x01, 0xE8, 0xB8, 0x85, //MOV EAX,60CBEE85 0xEE, 0xCB, 0x60, 0xEB, //JMP SHORT 12 0x01, 0x15, 0x35, 0x12,//ADC EAX, 0x34, 0x56, 0x78, 0xEB, //ADC EAX,50FF01EB 0x01, 0xFF, 0x50, 0xEB, //JMP SHORT 1F 0x02, 0xFF, 0x15, 0xC3 //CALL DWORD PTR DS:[C3] }; //把函数地址放到解密的OpCode里 OpCode[11] = dwEncryptFunAddr;// 0x85 假如:dwEncryptFunAddr = 0x12345678 OpCode[12] = dwEncryptFunAddr >> 0x08;// 0xEE 十六进制右移8位刚好截掉低位的2位 0x00123456 OpCode[13] = dwEncryptFunAddr >> 0x10;// 0xCB 十六进制右移16位刚好截掉低位的4位 0x00000012 OpCode[14] = dwEncryptFunAddr >> 0x18;// 0x60 十六进制右移16位刚好截掉低位的4位 0x00000000 // 4.将数据拷贝到申请的内存 pfnRtlMoveMemory((LPVOID)dwNewMem, OpCode, 0x20); // 5.返回新的函数地址 return dwNewMem; } //************************************************************ // 函数名称: EncryptIAT // 函数说明: 加密IAT // 参 数: void // 返 回 值: void //************************************************************ void EncryptIAT() { //设置文件属性为可写 SetFileHeaderProtect(true); //获取当前程序的加载基址 DWORD ImageBase = (DWORD)pfnGetMoudleHandleA(NULL); IMAGE_THUNK_DATA* pInt = NULL; IMAGE_THUNK_DATA* pIat = NULL; SIZE_T impAddress = 0; HMODULEhImpModule = 0; DWORD dwOldProtect = 0; IMAGE_IMPORT_BY_NAME* pImpName = 0; if (!GetOptionHeader((char*)ImageBase)->DataDirectory[1].VirtualAddress)return; //导入表=导入表偏移+加载基址 IMAGE_IMPORT_DESCRIPTOR* pImp = (IMAGE_IMPORT_DESCRIPTOR*)(GetOptionHeader((char*)ImageBase)->DataDirectory[1].VirtualAddress + ImageBase); while (pImp->Name) { //IAT=偏移加加载基址 pIat = (IMAGE_THUNK_DATA*)(pImp->FirstThunk + ImageBase); if (pImp->OriginalFirstThunk == 0) // 如果不存在INT则使用IAT { pInt = pIat; } else { pInt = (IMAGE_THUNK_DATA*)(pImp->OriginalFirstThunk + ImageBase); } // 加载dll hImpModule = (HMODULE)MyLoadLibraryA((char*)(pImp->Name + ImageBase)); //导入函数地址 while (pInt->u1.Function) { //判断导入的方式、序号还是名称 if (!IMAGE_SNAP_BY_ORDINAL(pInt->u1.Ordinal)) { pImpName = (IMAGE_IMPORT_BY_NAME*)(pInt->u1.Function + ImageBase); impAddress = (SIZE_T)MyGetProcAddress(hImpModule, (char*)pImpName->Name); } else { impAddress = (SIZE_T)MyGetProcAddress(hImpModule, (char*)(pInt->u1.Function & 0xFFFF)); } MyVirtualProtect(&pIat->u1.Function, sizeof(pIat->u1.Function), PAGE_READWRITE, &dwOldProtect); pIat->u1.Function = EncryptFun(impAddress); MyVirtualProtect(&pIat->u1., sizeof(pIat->u1.Function), dwOldProtect, &dwOldProtect); ++pInt; ++pIat; } ++pImp; } SetFileHeaderProtect(false); } //************************************************************ // 函数名称: RecoverDataDir // 函数说明: 恢复数据目录表 // 参 数: DWORD funcAddress 函数地址 // 返 回 值: void //************************************************************ void RecoverDataDir() { //获取当前程序的加载基址 char* dwBase = (char*)pfnGetMoudleHandleA(NULL); //获取数据目录表的个数 DWORD dwNumOfDataDir = g_conf.dwNumOfDataDir; DWORD dwOldAttr = 0; PIMAGE_DATA_DIRECTORY pDataDirectory = (GetOptionHeader(dwBase)->DataDirectory); //遍历数据目录表 for (DWORD i = 0; i < dwNumOfDataDir; i++) { if (i == 2) { pDataDirectory++; continue; } //修改属性为可读可写 MyVirtualProtect(pDataDirectory, 0x8, PAGE_EXECUTE_READWRITE, &dwOldAttr); //还原数据目录表项 pDataDirectory->VirtualAddress = g_conf.dwDataDir[i][0]; pDataDirectory->Size = g_conf.dwDataDir[i][1]; //把属性修改回去 MyVirtualProtect(pDataDirectory, 0x8, dwOldAttr, &dwOldAttr); pDataDirectory++; } } // 壳程序 int packerDoNum = 1; //这个执行次数可以加大脱壳的难度,这里设为1,方便做实验 void AllFunc() { // 递归执行packerDoNum次后执行壳程序 if (!packerDoNum) { _asm { nop mov ebp, esp push - 1 push 0 push 0 mov eax, fs:[0] push eax mov fs : [0], esp sub esp, 0x68 push ebx push esi push edi pop eax pop eax pop eax add esp, 0x68 pop eax mov fs : [0], eax pop eax sub packerDoNum, 1 pop eax pop eax pop eax mov ebp, eax push AllFunc } } }
参考资料
《0day安全.软件漏洞分析(第二版)》
《Windows黑客编程技术》
*本文作者:m0h1e0,转载请注明来自FreeBuf.COM