|
|
|
|
公众号矩阵

网络安全编程:PE编程实例之查壳工具

对于PE可执行文件来说,为了保护可执行文件或者是压缩可执行文件,通常会对该文件进行加壳。接触过软件破解的人应该都清楚壳的概念。下面来写一个查壳的工具。

作者:佚名来源:计算机与网络安全|2021-04-26 10:32

 

PE文件结构中大多用的是偏移地址,因此,只要偏移地址和实际的数据相符,那么PE文件格式有可能是嵌套的。也就是说,PE文件是可以变形的,只要保证其偏移地址和PE文件格式的结构基本就没多大问题。

对于PE可执行文件来说,为了保护可执行文件或者是压缩可执行文件,通常会对该文件进行加壳。接触过软件破解的人应该都清楚壳的概念。下面来写一个查壳的工具。

首先,用ASPack给前面写的程序加个壳。打开ASPack加壳工具,如图1所示。

图1  ASPack加壳工具界面

对测试用的软件进行一次加壳,不过在加壳前先用PEiD查看一下,如图2所示。

图2  PEiD查壳

从图2可以看出,该程序是Visual C++ 5.0 Debug版的程序。其实该程序是用Visual C++ 6.0写的,这里是PEiD识别有误。不过只要用Visual C++ 6.0进行编译选择Release版时,PEiD是可以正确进行识别的。使用ASPack对该程序进行加壳,然后用PEiD查壳,如图3所示。

图3  用PEiD查看加壳后的文件

从图3中可以看出,PEiD识别出文件被加过壳,且是用ASPack进行加壳的。PEiD如何识别程序被加壳,以及加了哪种壳呢?在PEiD的目录下有一个特征码文件,名为“userdb.txt”。打开这个文件,看大概内容就能知道里边保存了壳的特征码。程序员的任务就是自己实现一个这个壳的识别工具。

壳的识别是通过特征码进行的,特征码的提取通常是选择文件的入口处。壳会修改程序的入口处,因此对于壳的特征码来说,选择入口处比较合适。这里的工具主要是用来学习和演示用的,因此写的查壳工具要能识别两种类型,第一种类型是可以识别用Visual C++ 6.0编译出来的文件,第二种类型是可以识别ASPack加壳后的程序。当然,ASPack加壳工具的版本众多,这里只要能识别上面所演示版本的ASPack就可以了。

如何提取特征码呢?程序无论是在磁盘上还是在内存中,都是以二进制的形式存在的。特征码是从程序的入口处进行提取的,那么可以使用C32Asm以十六进制的形式打开这些文件,在入口处提取特征码,也可以用OD将程序载入内存后提取特征码。这里选择使用OD提取特征码。用OD载入未加壳的程序,如图4所示。

图4  OD载入为加壳文件的入口处

可以看到,这就是未加壳程序的入口处代码。在图4中,“HEX数据”列中就是代码对应的十六进制编码,这里要做的就是提取这些十六进制编码。提取结果如下:

  1. "\x55\x8B\xEC\x6A\xFF\x68\x00\x65\x41\x00" \  
  2. "\x68\xE8\x2D\x40\x00\x64\xA1\x00\x00\x00" \  
  3. "\x00\x50\x64\x89\x25\x00\x00\x00\x00\x83" \  
  4. "\xC4\x94"  

根据这个步骤,把ASPack的特征码也提取出来,提取结果如下:

  1. "\x60\xE8\x03\x00\x00\x00\xE9\xEB\x04\x5D" \  
  2. "\x45\x55\xC3\xE8\x01\x00\x00\x00\xEB\x5D" \  
  3. "\xBB\xED\xFF\xFF\xFF\x03\xDD\x81\xEB\x00"  
  4. "\xC0\x01"  

有了这些特征码,就可以开始编程了。先来定义一个数据结构,用来保存特征码,该结构如下:

  1. #define NAMELEN 20 
  2. #define SIGNLEN 32  
  3. typedef struct _SIGN  
  4.  
  5.  char szName[NAMELEN];  
  6.  BYTE bSign[SIGNLEN + 1];  
  7. }SIGN, *PSIGN; 

利用该数据结构定义2个保存特征码的全局变量,具体如下:

  1. SIGN Sign[2] =  
  2.  
  3.   {  
  4.     // VC6  
  5.     "VC6",  
  6.     "\x55\x8B\xEC\x6A\xFF\x68\x00\x65\x41\x00" \  
  7.     "\x68\xE8\x2D\x40\x00\x64\xA1\x00\x00\x00" \  
  8.     "\x00\x50\x64\x89\x25\x00\x00\x00\x00\x83" \  
  9.     "\xC4\x94"  
  10.   },  
  11.   {  
  12.     // ASPACK  
  13.     "ASPACK",  
  14.     "\x60\xE8\x03\x00\x00\x00\xE9\xEB\x04\x5D" \  
  15.     "\x45\x55\xC3\xE8\x01\x00\x00\x00\xEB\x5D" \  
  16.     "\xBB\xED\xFF\xFF\xFF\x03\xDD\x81\xEB\x00" 
  17.     "\xC0\x01"  
  18.   }};  

程序界面是在PE查看器的基础上完成的,如图5所示。

图5  查壳程序结果

提取特征码后,查壳工作只剩特征码匹配了。这非常简单,只要用文件的入口处代码和特征码进行匹配,匹配相同就会给出相应的信息。查壳的代码如下:

  1. VOID CPeParseDlg::GetPeInfo()  
  2.  
  3.   PBYTE pSign = NULL 
  4.   // 定位文件入口位置  
  5.   pSign = (PBYTE)((DWORD)m_lpBase  
  6.     + m_pNtHdr->OptionalHeader.AddressOfEntryPoint);  
  7.   // 比较入口特征码  
  8.   if ( memcmp(Sign[0].bSign, pSign, SIGNLEN) == 0 )  
  9.   {  
  10.     SetDlgItemText(IDC_EDIT_PEINFO, Sign[0].szName);  
  11.   }  
  12.   else if ( memcmp(Sign[1].bSign, pSign, SIGNLEN) == 0 )  
  13.   {  
  14.     SetDlgItemText(IDC_EDIT_PEINFO, Sign[1].szName);  
  15.   } 
  16.   else  
  17.   {  
  18.   SetDlgItemText(IDC_EDIT_PEINFO, "未知");  
  19.   } 

这样,查壳程序的功能就完成了。在程序中提取的特征码的长度为32字节,由于这里只是一个简单的例子,大家在提取特征码的时候,为了提高准确率,需要多进行一些测试。

【编辑推荐】

  1. 鸿蒙官方战略合作共建——HarmonyOS技术社区
  2. 推荐几款超级的数据可视化及大数据分析BI工具
  3. 网络安全编程:PE编程实例之PE查看器
  4. 网络安全攻防:ZigBee安全
  5. 2021年值得考虑的15种数据科学工具
  6. 走捷径实现安全,何乐而不为?OneDNS,在云端守护学校网络安全!
【责任编辑:庞桂玉 TEL:(010)68476606】

点赞 0
分享:
大家都在看
猜你喜欢

订阅专栏+更多

带你轻松入门 RabbitMQ

带你轻松入门 RabbitMQ

轻松入门RabbitMQ
共4章 | loong576

2人订阅学习

数据湖与数据仓库的分析实践攻略

数据湖与数据仓库的分析实践攻略

助力现代化数据管理:数据湖与数据仓库的分析实践攻略
共3章 | 创世达人

8人订阅学习

云原生架构实践

云原生架构实践

新技术引领移动互联网进入急速赛道
共3章 | KaliArch

40人订阅学习

视频课程+更多

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊

51CTO服务号

51CTO官微