一份专供初学者食用的AES加密壳
前言
功能:一个源程序加壳与解壳的过程。
原理:
加壳过程,即在壳文件上加一个新节(加密后的源程序)。
解壳过程,即在加密壳的进程空间中,为解密后的源程序分配空间,再卸载壳程序将控制权交给源程序。
备注:
这里假设读者已经对PE文件的结构有所了解,所以对PE文件的操作不再赘述。
壳和源程序其实都是独立的程序,加载到内存执行都会有自己的4GB空间。
欢迎大佬指正,新人共勉!
符号说明:
src.exe 没有加壳的源程序 shell.exe 壳程序 shell.exe.encrypt.exe 加密壳程序 OEP 程序入口点
实现环境
win10,VC++6.0
加壳过程
加壳过程很简单,处理好新增的节基本就没啥问题了。步骤如下:
1、获取 shell.exe 的路径 2、获取 src.exe 的路径 3、将 src.exe 程序读取到内存中,加密 4、在 shell.exe 程序中新增一个节,并在新节中加入 加密后的src.exe 。
加壳过程如图:
解壳过程
1、获取 shell.exe.encrypt.exe 的路径
2、在shell.exe.encrypt.exe 中获取 src.exe 的数据
(0)定位到shell.exe.encrypt.exe的最后一个节
(1)取出最后一个节的数据,解密
3、拉伸解密后的PE文件,存储到缓冲区
PE文件有两种状态:磁盘中的文件映像、内存中拉伸的状态
为什么会有两种状态呢? 首先得知道PE文件的执行过程:
当一个PE文件被执行时,PE装载器首先根据PE header的偏移量,跳转到PE header的位置。
当PE装载器跳转到PE header后,检查PE header是否有效。如果该PE header有效,就跳转到PE header的尾部。
接着是PE header尾部的节表,PE 装载器开始读取节表中的信息,并采用文件映射方法将这些节段映射到内存。
PE文件映射入内存后,PE装载器将继续处理PE文件中其他的目录表。
如上可知,PE文件执行的过程中,有一个从文件映射到内存的过程,所以就有PE的两种状态。
我们要做的是模仿PE加载器,让PE文件执行起来,所以就需要在内存中做拉伸。
4、以挂起方式运行shell.exe.encrypt.exe 进程
挂起主线程,是为了创建一个子线程来修改主线程的运行环境(CONTEXT),修改的运行环境为 shell.exe的运行环境。
(0)以挂起的方式创建shell.exe.encrypt.exe 进程,并得到主线程的 CONTEXT
(1)卸载外壳程序的文件镜像
如果shell.exe和 shell.exe.encrypt.exe 进程有相同基址,并且shell.exe的内存镜像小于进程shell.exe.encrypt.exe 的内存镜像,
那么只需要调用WriteProcessMemory来把可执行程序shell.exe的镜像写到进程shell.exe.encrypt.exe的内存空间中,并从 基址 开始执行即可。
否则,需要调用ZwUnmapViewOfSection来取消shell.exe.encrypt.exe的映像映射,然后通过 VirtualAllocEx 在shell.exe.encrypt.exe 进程中为
可执行程序 shell.exe 分配足够的空间。调用VirtualAllocEx的时候,必须提供可执行程序 shell.exe 的 基址,用来分配从指定位置开始的的空间。
然后把可执行程序 shell.exe 的镜像复制到进程 shell.exe.encrypt.exe 的内存空间,并从分配的空间的起始地址开始执行。
(2)在指定的位置申请指定大小的内存
指定的位置:src.exe 的 基址
指定大小:src.exe 的 SizeOfImage
内存分配:VirtualAllocEx
CONTEXT对象的ebx寄存器指向进程的PEB,eax寄存器的值为进程的OEP,ebx+8 为进程的基址。
(3)如果申请内存失败,查看 src.exe 是否有重定位表的数据,如果有,就在任意位置申请指定大小的内存,然后修复重定位表。 指定大小:src.exe 的 SizeOfImage
(4)如果申请内存失败,并且没有重定位表的数据,返回失败
如果指定位置的内存申请失败,说明该位置已经被占用,如果这时候要让程序在别的位置也能够正常运行,就依赖于重定位表,如果没有重定位表,那么程序就无法正常执行了。
(5)如果内存申请成功,复制PE数据到shell的进程空间中
(6)修正运行环境的ImageBase和OEP
5、恢复执行主进程,解壳完成。
解壳过程如图:
备注:这里的难点在于理解 挂起创建进程 的过程,在挂起的过程中 涉及到的两个重点函数ZwUnmapViewOfSection VirtualAllocEx 也比较难理解,需要了解操作系统的内存机制。
(CreateProcessA)创建一个新的进程,新进程在调用进程的安全上下文中运行。
BOOL CreateProcessA( LPCSTR lpApplicationName, //执行的模块名,可为null LPSTR lpCommandLine, //要执行的命令行,可为null LPSECURITY_ATTRIBUTES lpProcessAttributes, //该指针决定子进程是否可以继承新进程对象的返回句柄,如果为空,则不能继承句柄。 LPSECURITY_ATTRIBUTES lpThreadAttributes,//该指针决定子线程是否可以继承新进程对象的返回句柄,如果为空,则不能继承句柄。 BOOL bInheritHandles, //处理每个可继承句柄是否被新进程继承的选项,true表示可继承,否表示不可继承 DWORD dwCreationFlags, //控制优先级类和流程创建的标志。 LPVOID lpEnvironment, //指向新进程的环境块的指针。 LPCSTR lpCurrentDirectory, //进程当前目录的完整路径。 LPSTARTUPINFOA lpStartupInfo, //启动信息 LPPROCESS_INFORMATION lpProcessInformation //进程信息 );
(ZwUnmapViewOfSection)卸载内存中的文件映射
NTSYSAPI NTSTATUS ZwUnmapViewOfSection( HANDLE ProcessHandle, //要取消映射的进程句柄 PVOID BaseAddress //从虚拟地址空间此处开始取消映射 );
LPVOID VirtualAllocEx( HANDLE hProcess, //在此进程空间内分配内存 LPVOID lpAddress, //为要分配的页区域指定所需的起始地址的指针 SIZE_T dwSize, //分配的内存大小 DWORD flAllocationType, //分配的内存页的大小 DWORD flProtect //要分配的页区域的内存保护 );
几点思考
1、以前只会用工具,死记步骤,现在除了用工具,还可以写简单的工具(hai shi yong gong ju)(~~o(>_<)o ~~)。
2、更重要的收获是,从哪些大佬的写的工具当中汲取一点智慧。
3、以前老师逼着学都学不下去的操作系统,现在居然饶有兴趣地看了Over And Over Again (but, yi ran shi xiao cai)。
4、程序加壳是为了保护程序,那么这种”保护”是不是也可以成为恶意软件的”护身符“,绕过杀软的扫描?后续会带着这些思考继续学习逆向工程。
主要代码实现
代码中都有详细的备注,由于篇幅有限,没有贴上全部的代码。
1、AES加壳
#include "stdafx.h" #include #include #include #include "AES.h" #include "PEOperate.h" /* AES 加密*/ BOOL Packer() { TCHAR* shellPath = "shell.exe"; TCHAR* srcPath = "src.exe"; DWORD SrcFileSize=0; LPVOID pSrcFileBuffer = LoadPEFile(srcPath,SrcFileSize); CHAR* pOld = (CHAR*)pSrcFileBuffer; //循环加密 //DWORD fileSize = 0; LPVOID pSrcFileBufferEncode = malloc(SrcFileSize); memset(pSrcFileBufferEncode,SrcFileSize,0); CHAR* pNew = (CHAR*)pSrcFileBufferEncode; //void TestAddSecToFile(LPSTR lpszFile) //数据加密 unsigned char key[] = { 0x2b, 0x7e, 0x15, 0x16, 0x28, 0xae, 0xd2, 0xa6, 0xab, 0xf7, 0x15, 0x88, 0x09, 0xcf, 0x4f, 0x3c }; AES aes(key); aes.Cipher(pSrcFileBuffer, SrcFileSize); pSrcFileBufferEncode = pSrcFileBuffer; /* 将加密代码加入到文件内部 shellPath 源壳文件 pSrcFileBufferEncode 源程序加密后的文件 SrcFileSize 加密文件的长度,由于这里使用的加密算法(AES)只是异或和移位循环,所以源文件和加密文件的长度都是一样的 */ AddSecToFile(shellPath,pSrcFileBufferEncode,SrcFileSize); return TRUE; } /* 异或加密 BOOL Packer() { TCHAR* shellPath = "shell.exe"; TCHAR* srcPath = "src.exe"; DWORD SrcFileSize=0; LPVOID pSrcFileBuffer = LoadPEFile(srcPath,SrcFileSize); CHAR* pOld = (CHAR*)pSrcFileBuffer; //循环加密 //DWORD fileSize = 0; LPVOID pSrcFileBufferEncode = malloc(SrcFileSize); memset(pSrcFileBufferEncode,SrcFileSize,0); CHAR* pNew = (CHAR*)pSrcFileBufferEncode; //void TestAddSecToFile(LPSTR lpszFile) //数据加密 for(int i=0;i<(int)SrcFileSize;i++) { pNew[i] = pOld[i]^KEY; } //将加密代码加入到文件内部 //shellPath 源壳文件 //pSrcFileBufferEncode 源程序加密后的文件 //SrcFileSize 加密文件的长度,由于这里使用的加密算法(AES)只是异或和移位循环,所以源文件和加密文件的长度都是一样的 AddSecToFile(shellPath,pSrcFileBufferEncode,SrcFileSize); return TRUE; } */ #ifndef DEBUG //测试 void main() { Packer(); } #endif
2、AES解壳
#include "stdafx.h" #include #include #include #include "AES.h" #include "PEOperate.h" // 重定向PE用到的地址 void DoRelocation(LPVOID pFileBuffer, void *OldBase, void *NewBase) { PIMAGE_DOS_HEADER pDosHeader = NULL; pDosHeader = (PIMAGE_DOS_HEADER)pFileBuffer; PIMAGE_NT_HEADERS peH = (PIMAGE_NT_HEADERS)((DWORD)pFileBuffer+pDosHeader->e_lfanew); unsigned long Delta = (unsigned long)NewBase - peH->OptionalHeader.ImageBase; PImageBaseRelocation p = (PImageBaseRelocation)((unsigned long)OldBase + peH->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_BASERELOC].VirtualAddress); while(p->VirtualAddress + p->SizeOfBlock) { unsigned short *pw = (unsigned short *)((int)p + sizeof(*p)); for(unsigned int i=1; i SizeOfBlock - sizeof(*p)) / 2; ++i) { if((*pw) & 0xF000 == 0x3000){ unsigned long *t = (unsigned long *)((unsigned long)(OldBase) + p->VirtualAddress + ((*pw) & 0x0FFF)); *t += Delta; } ++pw; } p = (PImageBaseRelocation)pw; } } VOID GetEncryptFileContext(LPVOID pFileBuffer,DWORD &OEP,DWORD &ImageBase) { PIMAGE_DOS_HEADER pDosHeader = NULL; PIMAGE_NT_HEADERS pNTHeader = NULL; PIMAGE_FILE_HEADER pPEHeader = NULL; PIMAGE_OPTIONAL_HEADER32 pOptionHeader = NULL; PIMAGE_SECTION_HEADER pSectionHeader = NULL; //pFileBuffer= ReadPEFile(lpszFile); if(!pFileBuffer) { printf("文件读取失败\n"); return; } //MZ标志 if(*((PWORD)pFileBuffer)!=IMAGE_DOS_SIGNATURE) { printf("不是有效的MZ标志\n"); free(pFileBuffer); return; } //DOS头 pDosHeader = (PIMAGE_DOS_HEADER)pFileBuffer; //判断是否是有效的PE if(*((PDWORD)((DWORD)pFileBuffer+pDosHeader->e_lfanew))!=IMAGE_NT_SIGNATURE) { printf("不是有效的PE标志\n"); free(pFileBuffer); return; } pNTHeader = (PIMAGE_NT_HEADERS)((DWORD)pFileBuffer+pDosHeader->e_lfanew); //PE头 pPEHeader = (PIMAGE_FILE_HEADER)(((DWORD)pNTHeader)+4); //可选择PE头 pOptionHeader = (PIMAGE_OPTIONAL_HEADER32)((DWORD)pPEHeader+IMAGE_SIZEOF_FILE_HEADER); //获取信息 OEP = pOptionHeader->AddressOfEntryPoint; ImageBase = pOptionHeader->ImageBase; } VOID GetNtHeaderInfo(LPVOID pFileBuffer,DWORD &ImageBase,DWORD &ImageSize) { PIMAGE_DOS_HEADER pDosHeader = NULL; PIMAGE_NT_HEADERS pNTHeader = NULL; PIMAGE_FILE_HEADER pPEHeader = NULL; PIMAGE_OPTIONAL_HEADER32 pOptionHeader = NULL; PIMAGE_SECTION_HEADER pSectionHeader = NULL; if(!pFileBuffer) { printf("文件读取失败\n"); return; } //MZ标志 if(*((PWORD)pFileBuffer)!=IMAGE_DOS_SIGNATURE) { printf("不是有效的MZ标志\n"); free(pFileBuffer); return; } //DOS头 pDosHeader = (PIMAGE_DOS_HEADER)pFileBuffer; //判断是否是有效的PE if(*((PDWORD)((DWORD)pFileBuffer+pDosHeader->e_lfanew))!=IMAGE_NT_SIGNATURE) { printf("不是有效的PE标志\n"); free(pFileBuffer); return; } pNTHeader = (PIMAGE_NT_HEADERS)((DWORD)pFileBuffer+pDosHeader->e_lfanew); //NT头 pPEHeader = (PIMAGE_FILE_HEADER)(((DWORD)pNTHeader)+4); //可选择PE头 pOptionHeader = (PIMAGE_OPTIONAL_HEADER32)((DWORD)pPEHeader+IMAGE_SIZEOF_FILE_HEADER); //获取信息 ImageBase = pOptionHeader->ImageBase; ImageSize = pOptionHeader->SizeOfImage; } //是否有重定位表 BOOL HasRelocationTable(LPVOID pFileBuffer) { PIMAGE_DOS_HEADER pDosHeader = NULL; PIMAGE_NT_HEADERS pNTHeader = NULL; PIMAGE_FILE_HEADER pPEHeader = NULL; PIMAGE_OPTIONAL_HEADER32 pOptionHeader = NULL; PIMAGE_SECTION_HEADER pSectionHeader = NULL; PIMAGE_DATA_DIRECTORY DataDirectory=NULL; //Header信息 pDosHeader = (PIMAGE_DOS_HEADER)pFileBuffer; pNTHeader = (PIMAGE_NT_HEADERS)((DWORD)pFileBuffer+pDosHeader->e_lfanew); pPEHeader = (PIMAGE_FILE_HEADER)(((DWORD)pNTHeader)+4); pOptionHeader = (PIMAGE_OPTIONAL_HEADER32)((DWORD)pPEHeader+IMAGE_SIZEOF_FILE_HEADER); pSectionHeader = (PIMAGE_SECTION_HEADER)((DWORD)pOptionHeader+pPEHeader->SizeOfOptionalHeader); //定位Directory_Data; DataDirectory = pOptionHeader->DataDirectory; return (DataDirectory[IMAGE_DIRECTORY_ENTRY_BASERELOC].VirtualAddress) && (DataDirectory[IMAGE_DIRECTORY_ENTRY_BASERELOC].Size); } /* 在指定位置分配空间 shellDirectory : 原始壳的地址 shellProcess : 加密壳的进程句柄 encryptFileBuffer :加密壳程序的FileBuffer 位置: Src的ImageBase 大小: Src的SizeOfImage */ LPVOID AllocShellSize(LPSTR shellDirectory,HANDLE shellProcess,LPVOID encryptFileBuffer) { typedef void *(__stdcall *pfVirtualAllocEx)(unsigned long, void *, unsigned long, unsigned long, unsigned long); pfVirtualAllocEx MyVirtualAllocEx = NULL; MyVirtualAllocEx = (pfVirtualAllocEx)GetProcAddress(GetModuleHandle("Kernel32.dll"), "VirtualAllocEx"); //获取VirtualAllocEx 函数地址 LPVOID pShellBuffer = ReadPEFile(shellDirectory); DWORD shellImageBase=0; DWORD shellImageSize=0; DWORD encryptImageBase=0; DWORD encryptImageSize=0; //获得ImageBase ImageSize, 进行信息比较 GetNtHeaderInfo(pShellBuffer,shellImageBase,shellImageSize); GetNtHeaderInfo(encryptFileBuffer,encryptImageBase,encryptImageSize); if(shellImageBase == 0 || shellImageSize==0 || encryptImageBase == 0 || encryptImageSize==0) { MessageBox(0,"申请空间失败","失败",0); return NULL; } void *p = NULL; //在指定进程的指定位置分配内存 /* VirtualAllocEx:在指定进程的虚拟空间保留或提交内存区域,除非指定MEM_RESET参数,否则将该内存区域置0。 LPVOID VirtualAllocEx( HANDLE hProcess, // 申请内存所在的进程句柄 LPVOID lpAddress, // 保留页面的内存地址;一般用NULL自动分配 SIZE_T dwSize, // 欲分配的内存大小,字节单位;注意实际分 配的内存大小是页内存大小的整数倍 DWORD flAllocationType, DWORD flProtect */ //如果指定位置内存没有被占用,则取 MAX(shellImageSize,encryptImageSize) if(shellImageBase == encryptImageBase ) { shellImageSize = (shellImageSize >= encryptImageSize) ? shellImageSize: encryptImageSize; // 最小的分配方式,具体用法查MSDN,分配失败会返回NULL p = VirtualAllocEx(shellProcess,(void*)shellImageBase,shellImageSize,MEM_RESERVE | MEM_COMMIT, PAGE_EXECUTE_READWRITE); } // 指定位置被占用 & 进程中有重定位表 if((p == NULL) && HasRelocationTable(encryptFileBuffer)){ //任意位置分配空间 p = VirtualAllocEx(shellProcess, NULL, encryptImageSize, MEM_RESERVE | MEM_COMMIT, PAGE_EXECUTE_READWRITE); //重定位处理 if(p) { DoRelocation(encryptFileBuffer, (void*)encryptImageBase, p); }else{ MessageBox(0,"申请空间失败3","失败3",0); return NULL; } } return p; } /* 卸载(释放)原外壳占用内存 ProcHnd: 卸载的进程句柄 BaseAddr: 卸载的基址 返回:TRUE 卸载成功 FALSE 卸载失败 */ BOOL UnloadShell(HANDLE ProcHnd, unsigned long BaseAddr) { typedef unsigned long (__stdcall *pfZwUnmapViewOfSection)(unsigned long, unsigned long); pfZwUnmapViewOfSection ZwUnmapViewOfSection = NULL; BOOL res = FALSE; HMODULE m = LoadLibrary("ntdll.dll"); if(m){ ZwUnmapViewOfSection = (pfZwUnmapViewOfSection)GetProcAddress(m, "ZwUnmapViewOfSection"); if(ZwUnmapViewOfSection) res = (ZwUnmapViewOfSection((unsigned long)ProcHnd, BaseAddr) == 0); //取消映射目标进程的内存 FreeLibrary(m); } return res; } LPVOID GetLastSecData(LPSTR lpszFile,DWORD &fileSize) { LPVOID pFileBuffer = NULL; pFileBuffer= ReadPEFile(lpszFile); if(!pFileBuffer) { printf("文件读取失败\n"); return NULL; } PIMAGE_DOS_HEADER pDosHeader = NULL; PIMAGE_NT_HEADERS pNTHeader = NULL; PIMAGE_FILE_HEADER pPEHeader = NULL; PIMAGE_OPTIONAL_HEADER32 pOptionHeader = NULL; PIMAGE_SECTION_HEADER pSectionHeader = NULL; PIMAGE_SECTION_HEADER pSectionHeader_LAST = NULL; //Header信息 pDosHeader = (PIMAGE_DOS_HEADER)pFileBuffer; pNTHeader = (PIMAGE_NT_HEADERS)((DWORD)pFileBuffer+pDosHeader->e_lfanew); pPEHeader = (PIMAGE_FILE_HEADER)(((DWORD)pNTHeader)+4); pOptionHeader = (PIMAGE_OPTIONAL_HEADER32)((DWORD)pPEHeader+IMAGE_SIZEOF_FILE_HEADER); pSectionHeader = (PIMAGE_SECTION_HEADER)((DWORD)pOptionHeader+pPEHeader->SizeOfOptionalHeader); pSectionHeader_LAST = (PIMAGE_SECTION_HEADER)((DWORD)pSectionHeader+(pPEHeader->NumberOfSections-1)*40); int fileLength = pSectionHeader_LAST->PointerToRawData+pSectionHeader_LAST->SizeOfRawData; //判断是否已经加壳 if(strcmp((char*)pSectionHeader_LAST->Name,".NewSec")!=0) { MessageBox(0,"没有加壳","错误",0); return NULL; } fileSize = pSectionHeader_LAST->SizeOfRawData; LPVOID pEncryptBuffer = malloc(fileSize); memset(pEncryptBuffer,0,fileSize); CHAR* pNew = (CHAR*)pEncryptBuffer; CHAR* pOld = (CHAR*)((DWORD)pFileBuffer+pSectionHeader_LAST->PointerToRawData); //将最后一个段的数据拷贝到pEncryptBuffer中,并解密 unsigned char key[] = { 0x2b, 0x7e, 0x15, 0x16, 0x28, 0xae, 0xd2, 0xa6, 0xab, 0xf7, 0x15, 0x88, 0x09, 0xcf, 0x4f, 0x3c }; AES aes(key); aes.InvCipher(pOld, fileSize); pEncryptBuffer = pOld; return pEncryptBuffer; } #ifdef DEBUG int main() { char* shellDirectory = "shell.exe.encrypt1.exe"; //这是加壳后的程序 DWORD encryptSize = 0; LPVOID encryptFileBuffer = NULL; encryptFileBuffer = GetLastSecData(shellDirectory,encryptSize); //失败则结束 if(encryptFileBuffer == NULL) { MessageBox(0,"解密失败","失败",0); return 0; } /* 以挂起的形式创建进程 创建子进程,并且需要在子进程初始化之前修改运行环境(修改壳程序的运行环境-->子进程的运行环境) */ STARTUPINFO si={0}; si.cb = sizeof(STARTUPINFO); PROCESS_INFORMATION pi; CreateProcessA(shellDirectory, NULL, NULL, NULL, FALSE, CREATE_SUSPENDED, NULL, NULL, &si,π); TCHAR szTempStr[256]={0}; sprintf(szTempStr,"进程消息: %x , %x \n",pi.hProcess,pi.hThread); CONTEXT contx; //外壳的上下文环境 contx.ContextFlags = CONTEXT_FULL; GetThreadContext(pi.hThread,&contx); DWORD shellOEP = contx.Eax; //OEP的值存在EAX寄存器中 char* baseAddress = (CHAR*)contx.Ebx+8;//获取IMAGE_BASE的信息 TCHAR szBuffer[4]={0}; ReadProcessMemory(pi.hProcess,baseAddress,szBuffer,4,NULL); int* fileImageBase; fileImageBase = (int*)szBuffer; DWORD shellImageBase = *fileImageBase; BOOL isUnload = UnloadShell(pi.hProcess,shellImageBase);//卸载外壳程序内存 LPVOID p = AllocShellSize(shellDirectory,pi.hProcess,encryptFileBuffer);//在外壳进程空间的指定位置分配内存 if(p == NULL) { MessageBox(0,"内存分配失败","错误",0); return 0; } DWORD pEncryptImageSize=0; LPVOID pEncryptImageBuffer = FileBufferToImageBuffer(encryptFileBuffer,pEncryptImageSize);//将加密的源程序数据拷贝到新分配的内存空间 unsigned long old; WriteProcessMemory(pi.hProcess, (void *)(contx.Ebx+8), &p, sizeof(DWORD), &old); if(WriteProcessMemory(pi.hProcess, p, pEncryptImageBuffer, pEncryptImageSize, &old)) {// 复制PE数据到shell的进程空间中 DWORD encryptFileOEP = 0; DWORD encryptFileImageBase = 0; GetEncryptFileContext(encryptFileBuffer,encryptFileOEP,encryptFileImageBase); contx.ContextFlags = CONTEXT_FULL; //修复入口地址为源程序的入口 contx.Eax = encryptFileOEP + (DWORD)p; SetThreadContext(pi.hThread, &contx);// 更新主进程的运行环境为源程序的运行环境 LPVOID szBufferTemp = malloc(pEncryptImageSize); memset(szBufferTemp,0,pEncryptImageSize); ReadProcessMemory(pi.hProcess,p,szBufferTemp,pEncryptImageSize,NULL); //////这个是测试用的 实际壳程序将加密文件解密后直接跳转到源程序的入口执行:脱壳后程序保存到文件//////// MemeryTOFile(szBufferTemp,"111111.exe"); /////////////////////////////////////////////////////////////////////////////////////////////////////// ResumeThread(pi.hThread);// 恢复执行主线程 CloseHandle(pi.hThread); } return 0; } #endif
参考资料
《加密与解密(第4版)》 《WINDOWS内核原理与实现》 《应用密码学:协议、算法与C源程序》
*本文作者:m0h1e0,转载请注明来自FreeBuf.COM