2

[原创]写壳的一些成果[TLS完美处理,压缩功能实现,AntiDump-过LordPE,调用sprintf?,IAT重定向]

树梢之上 2017-9-26 22:34 2832

        总结一下写壳过程的一些成果

如果阅读本文,发现一些框架性的东西难以理解,可以先阅读这两篇文章

https://bbs.pediy.com/thread-206804.htm

https://bbs.pediy.com/thread-206873.htm

本来想自己写个系列的,结果已经有前辈写好了,我就分享一下自己独有的吧

0.      大体思路:

项目有加壳和解壳两部分,这两个部分通过结构体PACKINFOPackInfo来连接,具体实现是PACKINFOg_PackInfo定义在解壳的项目(dll项目,名为Stub)中,加壳部分通过

(PPACKINFO)GetProcAddress(hStub ,"g_PackInfo")来操作这个结构体.

这样就能将原PE文件的信息存入到解壳部分,减轻解壳部分的信息获取压力,在某些置0操作后,解壳部分依然能获取到信息.而且还可以获取到具体的加壳选项信息.下面将这个结构体称为PackInfo

加壳部分最后将解壳部分Stub.dll的某些区段添加到原PE文件上

1.      TLS完美处理

一开始处理TLS部分不知道怎么弄,看了看别人的帖子,结果豁然开朗,不就是循环调用TLS回调函数嘛.然后给自己来了个”高难度”的进行加壳,结果就出错了,果然是纸上得来终觉浅

测试程序是这样的:TLS回调函数首先使用TLS全局变量弹出对话框,接着主程序使用TLS全局变量弹出对话框,接着创建线程,线程中调用了MessageBox,其使用了TLS全局变量

// TLS测试程序

#include"stdafx.h"

#include"windows.h"

__declspec(thread)charg_tlsNum[10]="ffff";

voidNTAPIt_TlsCallBack_A(PVOIDDllHandle,DWORDReason,PVOIDRed)

{

   if(DLL_PROCESS_ATTACH==Reason)

   {

       MessageBoxA(0 , g_tlsNum , 0 , 0);

   }

}

#pragmadata_seg(".CRT$XLB")

PIMAGE_TLS_CALLBACKp_thread_callback[]={

   t_TlsCallBack_A,

   NULL

};

#pragmadata_seg()

DWORDWINAPIMyThreadProc(

   _In_LPVOIDlpParameter

)

{

   MessageBoxA(0 , g_tlsNum , 0 , 0);

   return0;

}

intmain()

{

   MessageBoxA(0 , g_tlsNum , 0 , 1);

   CreateThread(NULL, 0, MyThreadProc,NULL, 0,NULL);

   system("pause");

   return0;

}

        结果能弹出对话框,可是MessageBox上的字符是随机的.


可以看到,这里的数据”ffff”和数据块开始和结束在汇编层面是看不出有什么关系的,后来查阅更多的资料得知,当线程创建时,系统会从数据块开始VA和结束VA这一块空间中读取内容保存到pMem中,pMem地址存在fs:[0x2c]指向的指针数组中的一个,而索引变量则是用于找到pMem.也就是说如果每创建一个线程,就会从数据块开始VA和结束VA读取一次,保存到当前线程的空间,内存地址保存到fs:[0x2c]指向的指针数组中,通过索引变量找到数据地址.

那么,如果一开始没能让系统正确读取到你的TLS数据块,主线程之后就在也不能正确使用TLS全局变量(如果再创建线程,并且TLS数据块已经恢复好了,依然可以正确使用TLS全局变量,此为测试所得,也符合各资料所言),所以必须一开始就构建好TLS.

接下来,怎么构建呢?

逐个分析:

首先看TLS表存在哪?



是的,它存在rdata段,那么考虑压缩功能,在解压之前必定是不能正确读取了.

处理方法:Stub工程中添加一个TLS全局变量,并做做样子使用一下

_declspec(thread)intg_num;    Stub初始化函数中:  g_num;//使用tls变量,产生tls节表,

这里还有一个前置条件,

#pragmacomment(linker,"/merge:.data=.text")

#pragmacomment(linker,"/merge:.rdata=.text")

#pragmacomment(linker,"/section:.text,RWE")

也就是Stub.dll中.rdata段被合到.text段,这样只要拷贝了.text段(也是其他主要功能的载体)就可以使用其就可以其提供的tls表.

那么,首先就需要将原pe文件的目录表第10项指向Stub的这个tls表(由于会添加Stub.dll的text段作为解壳段,所以地址自然会有转换关系).

还需要将Stub的tls表中的值更改,接下来看TLS表中重要的值,


第一项和第二项其实就是代表TLS区段(注意这里是区段),所以处理是:TLS区段不能更改,原TLS表中的值设置到Stub的Tls表中

第三项:索引,有些文件存在.data段,有的文件中找不到VA对应的文件偏移,总之反正不在TLS表,也就是说会被压缩或被其他的处理,所以就在解析原pe文件的时候把它获取出来保存到信息结构体PackInfo中,这里取变量名为TlsIndex,将Stub的TLS表中索引地址指向变量TlsIndex,当然注意转化为VA

//如果在文件中找不到VA对应的内容,就说明会初始化为0,如果找得到,就读取其在文件中的内容

//获取tlsIndex的Offset

       DWORDindexOffset = RvaToOffset(g_lpTlsDir->AddressOfIndex - dwImageBase);

       //读取设置tlsIndex的值

       pPackInfo->TlsIndex = 0;//index一般默认值为0

       if(indexOffset != -1)

       {

           pPackInfo->TlsIndex = *(DWORD*)(indexOffset + m_pNewBuf);

       }

第四项:回调表VA,这个首先将Stub的TLS表的这一项设置为0,在解压缩等操作完成之后设置回去,然后手动调用

void CallTls()

{

   IMAGE_DOS_HEADER* lpDosHeader = (IMAGE_DOS_HEADER*)g_dwImageBase;

   IMAGE_NT_HEADERS* lpNtHeader = (IMAGE_NT_HEADERS*)(lpDosHeader->e_lfanew + g_dwImageBase);

   //如果tls可用,调用tls

   if(g_PackInfo.bIsTlsUseful == TRUE)

   {

       //将tls回调函数表指针设置回去

       PIMAGE_TLS_DIRECTORY pTlsDir =

          (PIMAGE_TLS_DIRECTORY)(lpNtHeader->OptionalHeader.DataDirectory[ 9 ].VirtualAddress + g_dwImageBase);

       pTlsDir->AddressOfCallBacks = g_PackInfo.TlsCallbackFuncRva;

      //手动调用TLS

       PIMAGE_TLS_CALLBACK* lptlsFun =

           (PIMAGE_TLS_CALLBACK*)(g_PackInfo.TlsCallbackFuncRva - lpNtHeader->OptionalHeader.ImageBase + g_dwImageBase);

       while((*lptlsFun) != NULL)

       {

           (*lptlsFun)((PVOID)g_dwImageBase , DLL_PROCESS_ATTACH , NULL);

           lptlsFun++;

       }

   }

}

这样关于TLS相关的问题就可以完美解决了

2.      压缩壳的实现

一开始实现压缩功能的时候虽然有思路,但暗暗感觉这背后处理的定是极其复杂.在看雪上搜索到了几篇文章

https://bbs.pediy.com/thread-131361.htm

https://bbs.pediy.com/thread-161315.htm

https://bbs.pediy.com/thread-145947.htm系列

扒下来apilib的使用代码后尝试按照自己的思路去写.

1.1加壳部分压缩

        考虑到对TLS全局变量的引用和程序启动是对资源段的使用,不压缩tls和rsrc段.

其中关于tls段的定位需要参考tls表中的数据起始位置StartAddressOfRawData或终止位置,

rsrc段参考目录表第三项.

//获得tls表指针

PIMAGE_TLS_DIRECTORY32g_lpTlsDir =(PIMAGE_TLS_DIRECTORY32)(RvaToOffset(m_pNt->OptionalHeader.DataDirectory[9].VirtualAddress)+ m_pNewBuf);

//获得tls数据起始rva ,用于判断tls区段位置

m_pTlsDataRva

= g_lpTlsDir->StartAddressOfRawData - m_pNt->OptionalHeader.ImageBase;

//用于判断资源段rva

m_pResRva = m_pNt->OptionalHeader.DataDirectory[2].VirtualAddress;

        接着是我压缩过程中对这些区段进行的处理,

首先遍历区段,在此过程中:

①  获取tls和rsrc分别保存到buf中,并且做好标记;②获取其余要压缩的区段也保存到一个CompressBuf中,同时将这些区段的文件中大小SizeofRawData以及前后顺序index保存到交互结构体PackInfo,便于解压缩使用,也就是DWORDPackInfomation[50][2];//压缩区段中每个区段的index和大小

接着需要处理CompressBuf了,压缩代码是

PCHARCPe::Compress(PVOIDpSource,longlInLength,OUTlong&lOutLenght)

{

   //packed保存压缩数据的空间,workmem为完成压缩需要使用的空间

   PCHARpacked , workmem;

   if((packed =(PCHAR)malloc(aP_max_packed_size(lInLength)))==NULL||

       (workmem =(PCHAR)malloc(aP_workmem_size(lInLength)))==NULL)

   {

       returnNULL;

   }

   //调用aP_pack压缩函数

   lOutLenght= aPsafe_pack(pSource, packed ,lInLength, workmem ,NULL,NULL);

   if(lOutLenght==APLIB_ERROR)

   {

       returnNULL;

   }

   if(NULL!= workmem)

   {

       free(workmem);

       workmem =NULL;

   }

   returnpacked;//返回保存地址

}

再接着,就是再造PE文件了,首先将Pe头复制到新的内存中,压缩区段的区段头的文件偏移和大小置为0,但是Rva和内存大小不动,这样起到占位的作用.(主要是之前懒得保存压缩区段总内存大小,并且还要专门创建一个对应的占位区段,不过这种也需要相应的处理,就是如果不加长pe头,后面再添加区段的时候,新添加的区段头可能会越过文件头范围).接着就是按照之前做的关于tls和rsrc的标记,将tls段和rsrc段按顺序原封不动复制到Pe头后面中,接着将CompressBuf添加到新区段.这样就完成了压缩部分功能.

1.2解壳部分解压缩.

解壳时,首先进行将压缩区段解压缩到DecompressBuf,根据PackInfo结构体中的压缩区段d的文件偏移大小和顺序,将其中的信息分别填到对应的区段即可

voidDecompress()

{

   // 1.获取节区头首地址

   PIMAGE_DOS_HEADERpDosHeader =(PIMAGE_DOS_HEADER)g_dwImageBase;

   PIMAGE_NT_HEADERSpNtHeader =(PIMAGE_NT_HEADERS)(pDosHeader->e_lfanew + g_dwImageBase);

   PIMAGE_SECTION_HEADERpSecHeader =IMAGE_FIRST_SECTION(pNtHeader);

   // 2.解压压缩区段

   PCHARlpPacked =((PCHAR)g_dwImageBase + g_PackInfo.packSectionRva);//内存地址

   DWORDdwPackedSize = aPsafe_get_orig_size(lpPacked);//获取解压后的大小

   PCHARlpBuffer =(PCHAR)g_VirtualAlloc(NULL, dwPackedSize ,MEM_COMMIT,PAGE_EXECUTE_READWRITE);//申请内存

   aPsafe_depack(lpPacked , g_PackInfo.packSectionSize , lpBuffer , dwPackedSize);//解压

                                                                                // 3.将各区段还原回去

   DWORDoffset = 0;

   for(inti = 0; i < g_PackInfo.PackSectionNumber; i++)

   {

       //区段的标号

       intindex = g_PackInfo.PackInfomation[i][0];

       //这个区段的SizeOfRawData

       intsize = g_PackInfo.PackInfomation[i][1];

       PCHARdestionVA =(PCHAR)g_dwImageBase + pSecHeader[index].VirtualAddress;

       PCHARsrcVA = lpBuffer + offset;

       memcpy_s(destionVA , size , srcVA , size);

       offset += size;

   }

   g_VirtualFree(lpBuffer , dwPackedSize ,MEM_DECOMMIT);

}

最后提醒一下,请使用使用aPsafe_pack和aPsafe_depack,注意是对应版本的,不要使用aP_pack(好像叫这个名字),差点被坑死.

这部分只是说下我的思路,其实能优化的有很多,希望大家多多尝试.

3.      AntiDump--过LordPE

关于AntiDump,首先学习了<<浅谈脱壳中的Dump技术全文>>一文,方法很简单,有修改PE头,修改PEB->_LDR_MODULE中的SizeOfImage,还有修改内存属性的,前面两个碰到LordPE就是死,后面的OD可以完美干掉.由于LordPE是读取文件路径自己解析文件来获取IMAGE_SIZE的,所以继续深入,这篇文章中说NT中不能在PEB中修改对应的路径来达到欺骗LordPE的目的,然后我又搜索了一些隐藏进程的文章,就试一试咯

结果发现,在处理完PEB的相关字段后,虽然不能在任务管理器中”消失”,但是LordPE进程列表中已经找不到这个进程了,这样也就够了

代码很简单:

//在解压缩之前进行

intAntidumpFunc1()

{

   PPEBpPeb;

   _asm

   {

       mov eax , fs:[0x30];                   //获得PEB地址

       mov pPeb , eax;

   }

   PLDR_MODULE pLdrModule =

       (PLDR_MODULE)(pPeb->LoaderData->InLoadOrderModuleList.Flink);

   PLDR_MODULE pLdrModuleInMem =

       (PLDR_MODULE)(pPeb->LoaderData->InMemoryOrderModuleList.Flink);

   PRTL_USER_PROCESS_PARAMETERSpRtlUserProcessParameters = pPeb->ProcessParameters;

   //隐藏进程(可过lordpe遍历,防止其找到原文件修正镜像大小,其他的就不关注了)

   nullUnicodeString(pRtlUserProcessParameters->ImagePathName);

   nullUnicodeString(pRtlUserProcessParameters->CommandLine);

   nullUnicodeString(pRtlUserProcessParameters->WindowTitle);

   nullUnicodeString(pLdrModule->FullDllName);

   nullUnicodeString(pLdrModuleInMem->FullDllName);

   //修改镜像大小

   pLdrModule->SizeOfImage = 0x1000;

}

下面是效果图:


其实Antidump除了这些之外,结合之前脱的壳,还可以把调用库函数的FF15的call转化为E8的call或是call文件头部分....

4.      解壳部分Sprintf的调用

这个问题源于我想写一个类似注册的功能,就是在当前文件夹下放一个与当前机器对应注册文件,然后软件才能打开,否则弹出一个对话框提示赋值机器码,这就不可避免的要是用sprintf这个函数,大家知道,在壳中导入表尚未修复之前不能直接使用一些库函数,必须要手动获取GetProcAddress地址,再获取其他的函数地址

void MyGetProcAddress(LPVOID *pGetProc , LPVOID *pLoadLibrary)

{

        PCHAR pBuf = NULL;

        _asm

        {

                  mov eax , fs:[0x30];//找到PEB

                  mov eax , [ eax + 0x0C ];//找到了LDR

                  mov eax , [ eax + 0x0C ];//找到了第一个节点

                  mov eax , [ eax ];      //找到了ntdll

                  mov eax , [ eax ];      //找到了kernel32.dll

                  mov ebx , dword ptr ds : [eax + 0x18];

                  mov pBuf , ebx;

        }

        PIMAGE_DOS_HEADER pDos = (PIMAGE_DOS_HEADER)pBuf;

        PIMAGE_NT_HEADERS pNt = (PIMAGE_NT_HEADERS)(pDos->e_lfanew + pBuf);

        PIMAGE_DATA_DIRECTORY pExportDir =

                  (pNt->OptionalHeader.DataDirectory + 0);

        PIMAGE_EXPORT_DIRECTORY pExport = (PIMAGE_EXPORT_DIRECTORY)

                  (pExportDir->VirtualAddress + pBuf);

        //后面的步骤

        //1 找到三个表:名称,地址,序号

        PDWORD pAddress = (PDWORD)(pExport->AddressOfFunctions + pBuf);

        PDWORD pName = (PDWORD)(pExport->AddressOfNames + pBuf);

        PWORD pId = (PWORD)(pExport->AddressOfNameOrdinals + pBuf);

        PVOID GetProAddress = 0;

        PVOID LoadLibry = 0;

        //2 在名称表中去遍历GetProcAddress这个字符串

        for(size_t i = 0; i < pExport->NumberOfNames; i++)

        {

                  char* Name = (pName[ i ] + pBuf);

                  if(strcmp(Name , "GetProcAddress") == 0)

                  {

                           GetProAddress = pAddress[ pId[ i ] ] + pBuf;

                  }

                  if(strcmp(Name , "LoadLibraryA") == 0)

                  {

                           LoadLibry = pAddress[ pId[ i ] ] + pBuf;

                  }

        }

        *pGetProc = GetProAddress;

        *pLoadLibrary = LoadLibry;

}

但是当我准备获取sprintf这个函数的时候,找了半天才找到__stdio_common_vsprintf,这个函数,那么__stdio_common_vsprintf又是怎么到sprintf这层的呢?只能到vs中扒了

最后的结果就是

typedef int(__cdecl*MY__STDIO_COMMON_VSPRINTF)(

   _In_                                   unsigned__int64_Options ,

   _Out_writes_z_(_BufferCount)           char*           _Buffer ,

   _In_                                   size_t          _BufferCount ,

   _In_z__Printf_format_string_params_(2)charconst*     _Format ,

   _In_opt_                               _locale_t       _Locale ,

   va_list         _ArgList

   );

g_stdio_common_vsprintf =(MY__STDIO_COMMON_VSPRINTF)

       g_GetProcAddress(g_LoadLibraryA("ucrtbased.dll"),"__stdio_common_vsprintf");

intMySprintf(char*szBuffer,constchar*szFormat, ...)

{

   int    iReturn ;

   va_listpArgs ;

   va_start(pArgs ,szFormat);

   iReturn = g_stdio_common_vsprintf(

       _CRT_INTERNAL_LOCAL_PRINTF_OPTIONS|_CRT_INTERNAL_PRINTF_LEGACY_VSPRINTF_NULL_TERMINATION,

       szBuffer, -1 ,szFormat,NULL, pArgs);

   va_end(pArgs);

   returniReturn ;

}

效果图


五.IAT重定向:

这个也是自己脱壳遇到的,就想着自己写一下

其实很简单,就是把解壳时填充IAT表的操作变一下即可,重点关注最下面那一块,就是自己申请一块内存空间,构造一段硬编码,将原函数地址填到这个硬编码的指定位置,然后将内存空间首地址写到IAT表,其实这还能做很多变形,我这只是最简单的

voidIATReloc()

{

       // 1.获取第一项iat项

   PIMAGE_IMPORT_DESCRIPTORpImportTable =

       (PIMAGE_IMPORT_DESCRIPTOR)((DWORD)g_PackInfo.ImportTableRva + g_dwImageBase);

   if(g_PackInfo.ImportTableRva)//如果没用导入表则跳过

   {

       HMODULElib;

       IMAGE_THUNK_DATA*IAT , *INTable;

       IMAGE_IMPORT_BY_NAME*IatByName;

       while(pImportTable->Name)//(pImportTable->FirstThunk)

       {

           lib = g_LoadLibraryA((char*)(pImportTable->Name +(DWORD)g_dwImageBase));

           IAT =(IMAGE_THUNK_DATA*)(pImportTable->FirstThunk +(DWORD)g_dwImageBase);

           INTable =(IMAGE_THUNK_DATA*)((pImportTable->OriginalFirstThunk ? pImportTable->OriginalFirstThunk : pImportTable->FirstThunk)+(DWORD)g_dwImageBase);

           while(INTable->u1.AddressOfData)

           {

               DWORDdwAddress;

               if((((DWORD)INTable->u1.Function)& 0x80000000)== 0)

               {

                   IatByName =(IMAGE_IMPORT_BY_NAME*)((DWORD)INTable->u1.AddressOfData +(DWORD)g_dwImageBase);

                   dwAddress =(DWORD)g_GetProcAddress(lib ,(char*)(IatByName->Name));

               }

               else

               {

                   dwAddress =(DWORD)g_GetProcAddress(lib ,(LPCSTR)(INTable->u1.Ordinal & 0xFFFF));

               }

               char*dllName =(char*)(pImportTable->Name +(DWORD)g_dwImageBase);

               //只重定向这几个dll,如果所有的都重定向会出错

               if((!strcmp(dllName ,"kernel32.dll"))

                 ||(!strcmp(dllName ,"user32.dll"))

                 ||(!strcmp(dllName ,"advapi32.dll"))

                 ||(!strcmp(dllName ,"gdi32.dll")))

               {

                   //申请虚拟内存

                   PCHARvirBuf =(PCHAR)g_VirtualAlloc(NULL, 7 ,MEM_COMMIT,PAGE_EXECUTE_READWRITE);

                   //赋值机器码

                   // mov ebx,address ;jmp address

                   virBuf[0]= 0xBB;

                   *(DWORD*)(virBuf + 1)= dwAddress;

                   virBuf[5]= 0xFF;

                   virBuf[6]= 0xE3;

                   //将iat表填充为这个

                   IAT->u1.Function =(DWORD)virBuf;

               }

               else

               {

                   IAT->u1.Function = dwAddress;

               }

               INTable++;

               IAT++;

           }

           pImportTable++;

       }

   }

}

附件使用:CalcKeyCode可以产生本机的key;TLStest用于生成TLS测试文件;项目当前已经实现了大部分功能(今后实现会更新帖子);还有一些默认的选项,如加花和混淆,可能不好调试,可以自己更改:在Stub项目, 注释掉AllFunc ,如AllFunc()中的 FusedFunc((DWORD)Init)改为直接在Start()中call Init

以上就是我在写壳的时候遇到的一些问题和总结的成果,希望对大家有帮助.

写壳是一件很有趣的事,平时遇到的一些壳的功能可以自己随心所欲的加进去,自己在写的过程中也成长了不少,也希望大家能多多实践,共同进步!


上传的附件:
本主题帖已收到 1 次赞赏,累计¥1.00
最新回复 (22)
lionnnn 2017-9-26 22:50
2
感谢分享。
MaYil 2017-9-26 22:55
3
感谢分享
10
cvcvxk 2017-9-26 22:58
4
收藏了。1块送上
2
树梢之上 2017-9-26 23:00
5
cvcvxk 收藏了。1块送上
3Q大佬
friendanx 2017-9-27 08:41
6
感谢分享  应该加个赞的功能  没钱赏
2
pxhb 2017-9-27 09:27
7
好东西,感谢分享
xie风腾 2017-9-27 09:37
8

看中楼主地OD鸟,肿么办
zeknight 2017-9-27 09:53
9
牛逼,对于我们这些连门都没有摸到的新手来说,楼主太强大了
wwihacker 2017-9-27 09:59
10
mark  多谢,学习了
Gkey 2017-9-28 12:59
11
赞一个  感谢分享
2
pxhb 2017-9-28 15:38
12
方便传一个编译好的吗,用vs2010dll部分错误有点多
ldljlzw 2017-9-28 17:36
13
看起来很不错的!
hxsoft 2017-9-29 16:12
14
xie风腾 [em_13] 看中楼主地OD鸟,肿么办
估计得去读个15pb才行吧,这是专用的。
2
树梢之上 2017-9-29 18:12
15
pxhb 方便传一个编译好的吗,用vs2010dll部分错误有点多
转2015吧,我编译好了,你又不能调
wx_Mars_982653 2017-10-3 19:56
16
优秀文章
聖blue 2017-10-5 20:32
17
不错!!!!
wodexinren 2017-10-9 17:11
18
很好,学习一下
GeniusVczh 2017-10-10 02:16
19
很好,学习一下
ntDownload 2017-10-10 02:37
20
很好,学习一下
qazwsxedcr 2017-10-12 08:35
21
感谢分享。
xjj 2017-10-12 09:14
22
mark一下,感谢分享
1
八岛 4天前
23
感谢,目测是学长?
返回