2.13 PE结构:实现PE代码段加密
代码加密功能的实现原理,首先通过创建一个新的.hack
区段,并对该区段进行初始化,接着我们向此区段内写入一段具有动态解密功能的ShellCode
汇编指令集,并将程序入口地址修正为ShellCode
地址位置处,当解密功能被运行后则可释放加密的.text
节,此时再通过一个JMP
指令跳转到原始OEP
位置,则可继续执行解密后的区段。
如下是一段异或解密功能实现,用于实现循环0x88
异或解密代码功能;
00408001 MOV EAX, main.00401000 (代码段首地址) |
有了上述加密流程,则下一步就是对内部的变量进行填充,我们可以提取出这些汇编指令的机器码并存储到Code[]
数组内,通过对数组中的特定位置进行替换来完善跳转功能,此处我们需要提取如下几个位置的特征字段;
- 00408001 数组下标第
2
位替换为ImageBase + pSection->VirtualAddress
- 0040800A 数组下标第
11
位替换为ImageBase + pSection->VirtualAddress + pSection->Misc.VirtualSize
- 0040800F 数组下标第
19
位替换为ImageBase + BaseRVA
- 00408012 原始
OEP
位置替换为pSection->VirtualAddress
根据上述流程我们可以编写一个AddPacking
函数,该函数通过传入一个待加密程序路径,则可将一段解密代码Code[]
写入到程序节表中的最后一个节.hack
所在内存空间,并动态修正当前入口地址为.hack
节的首地址,最终执行解密后自动跳转回原始OEP位置执行功能,如下代码所示;
// 对文件执行加壳操作 |
读者可自行运行上述代码片段,传入d://lyshark.exe
对该程序中的.text
节进行解密,运行后读者可打开x64dbg
调试器,观察入口地址处的变化,此时入口地址已经跳转到.hack
节内,此节中的汇编指令则用于对.text
代码节进行解密操作,当解密结束后则会跳转到原始地址0x45C865
位置处,如下图所示;
当加密功能写入后,则接下来就可以对.text
代码节进行加密了,加密的实现也非常容易,如下函数,通过定位到第一个节,并通过ReadFile
函数将这个节读入内存,通过循环对这个区域进行加密,最后调用WriteFile
函数再将加密后的数据回写到代码节,此时加密功能就实现了,如下所示;
// 将特定的节进行加密,此处只加密Text节 |
读者通过AddPacking
函数对文件加壳后,接着就可以调用EncrySection
函数对目标程序进行异或处理,此处分别传入d://lyshark.exe
路径,以及一个加密密钥0x88
,等待加密结束即可,此时运行程序即可实现对代码段的解密运行,这样也就起到了保护了代码段的作用,如下是解密之前的代码段;
当解密后,代码段将会被展开,并输出如下图所示的样子,此时程序即可被正确执行;