打印

转:写壳过程中遇到的问题总结

[复制链接]
1359|2
手机看帖
扫描二维码
随时随地手机跟帖
跳转到指定楼层
楼主
huangfeng33|  楼主 | 2012-2-26 14:19 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
本帖最后由 香水城 于 2012-2-26 14:42 编辑

编写外壳陆陆续续有一段时间了,把中间所遇到的问题总结一下,留作参考,以后遇到同样问题的朋友也可以少走些弯路。
1.语言的选择:
外壳的编写可以采用ASM,也可以采用C,我所阅读过的壳程序外壳部分基本上使用汇编写的,如yoda, UPX等等,加壳部分的代码有用C的也有用汇编的。 其实壳代码可以用C编写,编译后自己提取obj文件中的代码,在加壳时把这些代码进行连接,创建一个一个新节把壳代码寄生在原始程序上就可以了,这个可以参考一下upx。
2 .对DLL加壳:
对DLL加壳需要处理多次重入问题,对DLL进行加壳时容易出现的问题是堆栈平衡问题,如过需要开一些线程的话,必须在DLL退出时结束掉这些线程,新开的线程不会自动结束,否则调用加壳后的DLL的主程序会出错。
3. 输入表的构建:
构建外壳的输入表时最好对除了需要的输入表时,再另外附加上原始程序的输入表中的一个DLL和该DLL的一个函数,对一些版本的编译器编译的程序兼容性较好。
4. 重定位表的构建:
壳代码采用C编写没有进行自动重定位,因此需要严格按照重定位表的格式构建重定位表,对于EXE加壳的程序可能无所谓,对于DLL加壳后的程序可能会出错。
5. 关于反调试部分:
这个东西在各个平台下各种编译器需要测试好兼容性,因为好多东西在各个平台下都不一致,如PEB结构,还有Win7下的程序可能以兼容winxp的模式来运行,等等,其实有好多反调试很容易被跳过,但是在开发的时候加入这些破东西就需要好好测试了。
6. 关于IAT加密:
这个东西也是需要小心的,有一些IAT加密后会出错,如msvcr*._acmdln, msvcr*_adjust_fdiv,等函数,VC编译的程序访问IAT中的这几个函数时,当做数据来访问,当然还有其他BCB编译的程序中也存在这种情况,这个就需要多多调试了,对于这种情况目前只是简单的跳过了这些函数,另外IAT加密时临时分配的内存在2003下得设置为可执行属性。
7. 对微软编译器浮点库的支持
一开始以为是哪个库没有加载,后来通过才知道IAT所在的节需为只读属性,外壳填充IAT时,临时修改一下内存页属性就可以了,填充完毕后再设置为只读。
8. 附加数据的处理
有时候只单纯的把附加数据保存在新节的后面,加壳后的程序不一定能正常执行,这就需要通过调试被加壳的程序访问附加数据的方式来决定附加数据到底如何存放。
9.被病毒误报的问题
免杀是个很头疼的问题,主要是查一下特征码所在的位置,如果在区表上可以修改一些区段标志试试,从PE结构上可以解决掉一部分误报问题,另外注意免杀后在多个系统上测试一下,防止免杀后的程序在其他系统上不能运行。
以后遇到什么问题再继续写吧。
沙发
香水城| | 2012-2-26 14:44 | 只看该作者
帖子字体太大,俺给改小了,:handshake

使用特权

评论回复
板凳
xsgy123| | 2012-2-26 17:12 | 只看该作者
香主真是敬业:lol

使用特权

评论回复
发新帖 我要提问
您需要登录后才可以回帖 登录 | 注册

本版积分规则

506

主题

2446

帖子

8

粉丝