黑客编程解说加壳和脱壳

壳是这种比较独特的手机app。壳分成两大类，类别是缩小壳，另一类是加锁壳。这样的话，也有接近彼此之间的混和壳。下边先到手動为1个可执行文件加那层壳子，必须打算的道具有C32ASM、LordPE、加上节表道具和OD。

最先用LordPE查询可执行文件，并对必须的好多个统计资料做1个简易的纪录，如下图所示6-47如图。

黑客编程分析之加壳与蜕壳 黑客技术 第6张

在LordPE中，必须查询好多个针对人们必须的统计资料，包含PE文档的通道RVA、映象地点和编码节的有关统计资料。拥有这种统计资料之后就能够根据C32ASM对编码开展加锁了。用C32ASM以十六进制的方法开启可执行文件，随后从编码节的文档偏位开使挑选，也就是以l000Oh的部位开使挑选，始终挑到4fffh的部位。随后单击右键，在跳出的快捷菜单上挑选“改动统计资料”指令，在“改动统计资料”提示框中挑选“异或”计算方法来对编码节开展加锁，如下图所示6-48如图。

应用Ox88来对编码节开展异或加锁，点击“明确”按键后编码节被改动。

储存之后应用在前边章目撰写的加上节表的手机app对可执行文件加上1个新的节，如下图所示6-49如图。

黑客编程分析之加壳与蜕壳 黑客技术 第二张

加上新的节区之后应用OD对可执行文件加上～些编码，用OD开启可执行程序，赶到00408000地点处，加上给出编码：

黑客编程分析之加壳与蜕壳 黑客技术 第4张

左右编码的功效是将上边改动的编码节內容复原，随后开展储存。用LordPE改动该可执行文件的通道和编码节的特性，如下图所示6-50、图6-51和图6-52如图。

黑客编程分析之加壳与蜕壳 黑客技术 第6张

黑客编程分析之加壳与蜕壳 黑客技术 第五张

运作改动过的可执行文件，能够没问题运作。

下边梳理一会儿构思，以便捷人们敲代码。最初用LordPE查询了即将采用的某些PE消息，随后用C32ASM对编码节开展了简易的异或加锁，接着新加上了1个节并在新节中载入了复原编码节的破译命令，最终用LordPE改动了文档的通道地点、编码节特性和新加上节的特性。对比一会儿左右2个文档的不同点，如下图所示6-53所卅；。

黑客编程分析之加壳与蜕壳 黑客技术 第6张

从图中能够看得出这2个PE文档的区别，坚信大伙儿对于早已沒有不了解的地区了。下边开使手動塑造1个那样简易的加壳软件。

撰写简易的加壳工具

我觉得不依照上边的流程开展还可以，要是流程是有效的就就行了。人们上应有4个涵数必须保持，各自是获得PE消息GetPelnf00、加上新节AddSection0、加锁编码节Encode()和载入破译编码WriteDecode()。获得PE消息和加上新节的编码保持前边早已介紹已过，这儿也不反复介紹了。人们关键看2个涵数的编码，各自是Encode()和WriteDecode()。Encode0涵数的功效是对编码节的內容开展加锁，这儿挑选的加密算法是异或计算方法。在开展加锁之前必须得到编码节在文档中的部位，及其编码节的长短。拥有这2个消息就能够开展加锁了，编码给出；

黑客编程分析之加壳与蜕壳 黑客技术 第7张

黑客编程分析之加壳与蜕壳 黑客技术 第8张

WrikDecode()涵数的功效是将对编码节的破译编码载入到新加上的节中，那样在运作真实编码以前会先对加锁的编码开展复原。一样，破译的编码也应用异或计算方法开展。破译的编码不可以立即载入C编码，只是要载入机器码，机器码能够剑OD中获得，编码给出：

黑客编程分析之加壳与蜕壳 黑客技术 第9张

在虚拟注册地址和汇编指令的里面部位也是汇编指令相匹配的机器码，将其取下并界定为c语言的数纽，界定给出：

这一机器码在破译的流程时要依据具体的PE消息开展改动，改动的部位有3处，各自是编码节的起止虚拟注册地址、编码节的完毕虚拟注册地址和系统的初始通道点，编码给出：

黑客编程分析之加壳与蜕壳 黑客技术 第11张

这也是破译编码，大伙儿能够找个用vc写的系统来开展检测。这儿应用Release版的helloworld测试通过，这一壳应属袖珍舨的壳，严格来说，谈不上是1个壳，可是这一壳在免杀行业是有甩的，也也是把标记到的特征码开展加锁，随后再载入破译编码进而掩藏特征码。1个真实的竟会对导进表、另存表、資源、TlS、额外统计资料等有关的部位开展解决。加锁壳会添加许多反调节的作用，向_且还会让壳和可执行文件结合合为一体，超过“骨肉相连”的水平来提升蜕壳的难易度。