文章标题:使用VC自己动手编写加壳程序(4)——打造自己的壳
主要内容:给文件分配虚拟内存并载入内存,然后输出加壳后文件。
基本要求:了解VC++6.0基本使用方法;了解PE格式,不熟悉的地方能够通过查阅资料弄懂;
阅读对象:想写壳的新手。高手掠过,本文仅限于写壳入门。
文章类型:原创
文章作者:天漏客 QQ:285252760
完成日期:2009年03月31日
作者主页:www.lilu.name
文章地址:www.lilu.name/Html/heikexuetang/2009-3/86417.html
文章说明:允许转载,但最好注明转载出处。
将PE文件载入内存后再操作有三种方法。第一是通过文件映射的基址,其内容在第二节中已经应用并实现。第二是获取获取文件大小,然后分配相应大小的内存。第三是模拟PE文件的加载机制,根据PE文件的镜像大小分配相应大小的内存,然后将相应的区块载入到对应的虚拟地址空间中。本次内容将使用第三种方式加载文件到内存。
由于PE文件在运行时,对文件中数据的读取都是通过RVA(相对虚拟地址)进行的,如果采用第一种或者第二种方式加载到内存,那么当读取数据的时候,还需要将RVA转换成Offset(文件偏移),这种转换虽然说不麻烦,但如果需要转换的地方较多,有时也会出错,所以本系统的加壳也将采用第二种方式加入到内存。
载入内存用先通过VirtualAlloc函数分配虚拟内存空间,然后通过ReadFile读入到内存。根据PE文件的加载机制,PE文件会按照区段进行载入,每个区段的虚拟地址在区段表中都有说明。
源代码:
[点击浏览该文件:PEPacker(4).rar]
最后的效果图。
首先添加两个成员函数:MemAlloc和MemAllocFree,在class view视图中的CPEPackerDlg类上点击右键,选择“add member function...”。函数类型和说明分别如下:
BOOL MemAlloc(HANDLE hFile); //分配内存
void MemAllocFree(); //释放内存
然后再添加几个成员变量,在class view视图中的CPEPackerDlg类上点击右键,选择“add member variables...” 。变量类型和名称如下,Access都选择public。定义的都是指针类型变量。
LPVOID lpVirtualtAlloc; //内存分配指针
PIMAGE_DOS_HEADER pDosHeader; //DOS头指针
PIMAGE_NT_HEADERS pNtHeader; //NT头
PIMAGE_OPTIONAL_HEADER pOptionalHeader; //可选头指针
PIMAGE_SECTION_HEADER pSectionHeader; //区块表指针
此时我们把两个编辑框的属性设置为只读。第一个编辑框设置为只读后,获取文件路径时方便点,如果用户不是通过按钮来选择文件,而是手动输入文件路径,那么就还需要一个判断和获取文件。所以为了省去这种麻烦,我们干脆设置为只读算了。第二个编辑框本来只输出信息,不需要修改,所以设置为只读。
设置方法。在资源视图中打开该对话框,然后在编辑框的属性中选择“样式”标签,最后面有个“只读”复选框,勾上就行了。
编写代码。MemAlloc函数的代码如下,我都做了注释,就不多说了。
//文件分配虚拟内存
BOOL CPEPackerDlg::MemAlloc(HANDLE hFile)
{
DWORD dwSizeOfImage; //映像大小
DWORD dwSizeOfHeaders; //文件头大小
DWORD dwBufferRead; //文件实际读入大小
DWORD dwOffset; //PE头偏移
char szBuffer[512]; //调试用
DWORD dwNumOfSections; //区段表个数
DWORD i;
//获取文件的映像大小,从PE头中读取。
SetFilePointer(hFile,0x3C,NULL,FILE_BEGIN);
ReadFile(hFile,&dwOffset,4,&dwBufferRead,NULL); //读取PE头位置
SetFilePointer(hFile,dwOffset+0x50,NULL,FILE_BEGIN);
ReadFile(hFile,&dwSizeOfImage,4,&dwBufferRead,NULL);//读取文件映像大小
SetFilePointer(hFile,dwOffset+0x54,NULL,FILE_BEGIN);
ReadFile(hFile,&dwSizeOfHeaders,4,&dwBufferRead,NULL);//读取文件头大小
sprintf(szBuffer,"文件头:%lx,文件头大小:%lx,文件映像大小:%lx\r\n",
dwOffset,dwSizeOfHeaders,dwSizeOfImage);
m_RichEditProcInfo.ReplaceSel(szBuffer);
//分配虚拟内存
//MEM_RESERVE保留分配
//MEM_COMMIT表示提交分配
//申请内存的同时提交分配,具体用法可以参考MSDN。
lpVirtualtAlloc=VirtualAlloc(NULL,dwSizeOfImage,MEM_RESERVE|MEM_COMMIT,PAGE_READWRITE);
//如果分配失败
if (lpVirtualtAlloc==NULL)
{
return FALSE;
}
//将文件读入到内存中
//首先读取文件头
SetFilePointer(hFile,0,NULL,FILE_BEGIN);
ReadFile(hFile,lpVirtualtAlloc,dwSizeOfHeaders,&dwBufferRead,NULL);
//获取PE文件头相关指针
pDosHeader=(PIMAGE_DOS_HEADER)lpVirtualtAlloc;
pNtHeader=(PIMAGE_NT_HEADERS)(pDosHeader->e_lfanew+(DWORD)pDosHeader);
pOptionalHeader=(PIMAGE_OPTIONAL_HEADER)(&pNtHeader->OptionalHeader);
//IMAGE_FIRST_SECTION是VC下定义的一个宏,用来获取区段表的头指针
pSectionHeader=IMAGE_FIRST_SECTION(pNtHeader);
//然后分区块进行读入
dwNumOfSections=pNtHeader->FileHeader.NumberOfSections;
for (i=0;i {
//将指针设定到每个区块的开始
SetFilePointer(hFile,(pSectionHeader+i)->PointerToRawData,NULL,FILE_BEGIN);
//根据每个区块的原始大小读入到相应的虚拟地址中去。
ReadFile(hFile,(LPVOID)((DWORD)lpVirtualtAlloc+(pSectionHeader+i)->VirtualAddress),(pSectionHeader+i)->SizeOfRawData,&dwBufferRead,NULL);
}
return TRUE;
}
第二个函数,MemAllocFree主要是释放分配的内存。
void CPEPackerDlg::MemAllocFree()
{
//释放分配的虚拟内存
VirtualFree(lpVirtualtAlloc,0,MEM_DECOMMIT);
VirtualFree(lpVirtualtAlloc,0,MEM_RELEASE);
}
最后在主函数OnButtonPacking中调用分配函数,及释放函数。
…………………………………………………………………………………………
/////////////////第三次加的内容/////////////////////////////////////////////
//判断文件格式
if (!IsPE(hFile))
{
m_RichEditProcInfo.ReplaceSel("错误提示:文件不是PE格式!\r\n");
MessageBox("文件不是PE可执行文件","错误提示!",MB_OK);
return;
}
//////////////////////////////////////////////////////////////////////////
//////////第四次内容。分配内存,并载入内存////////////////////////////////////////////
if (!MemAlloc(hFile))
{
m_RichEditProcInfo.ReplaceSel("错误提示:文件加载到内存失败!\r\n");
MessageBox("文件加载到内存失败!","错误提示!",MB_OK);
return;
}
//获取文件大小
dwFileSize=GetFileSize(hFile,NULL);
//设定加壳后的文件名,我采取了一个偷懒的简单方法。
…………………………………………
//文件写入完毕后,释放内存
MemAllocFree();
//卸载文件映射,关闭文件句柄
UnmapViewOfFile(lpHeadBase);
CloseHandle(hMapping);
CloseHandle(hFile);
//在编辑框中显示信息
……………………………………………………
最后还要将写入函数的指针设置为内存分配的句柄,代码如下:
//写入文件
if (!WriteFile(hFile,lpVirtualtAlloc,dwFileSize,&dwBufferRead,NULL))
{
MessageBox("写入文件失败!","错误提示!",MB_OK);
//卸载文件映射,关闭文件句柄
CloseHandle(hFile);
return;
}
最后编译,运行,即可。如有问题,请对照发布的源代码。
为了优化函数,把第2次内容所使用的文件映射相关的内容都删除掉。删除后的按钮事件代码如下:
void CPEPackerDlg::OnButtonPacking()
{
// TODO: Add your control notification handler code here
HANDLE hFile; //文件句柄
DWORD dwFileSize; //文件大小
DWORD dwBufferRead; //实际读取字节
//打开文件
hFile=CreateFile(m_FilePathName,GENERIC_READ,FILE_SHARE_READ,NULL,
OPEN_EXISTING,FILE_ATTRIBUTE_NORMAL,NULL);
//如果文件打开失败,就弹出对话框,并返回。
if (hFile==INVALID_HANDLE_VALUE)
{
MessageBox("打开文件失败!","错误提示",MB_OK);
return;
}
/////////////////第三次加的内容/////////////////////////////////////////////
//判断文件格式
if (!IsPE(hFile))
{
m_RichEditProcInfo.ReplaceSel("错误提示:文件不是PE格式!\r\n");
MessageBox("文件不是PE可执行文件","错误提示!",MB_OK);
return;
}
//////////////////////////////////////////////////////////////////////////
//////////第四次内容。分配内存,并载入内存////////////////////////////////////////////
if (!MemAlloc(hFile))
{
m_RichEditProcInfo.ReplaceSel("错误提示:文件加载到内存失败!\r\n");
MessageBox("文件加载到内存失败!","错误提示!",MB_OK);
return;
}
//获取文件大小
dwFileSize=GetFileSize(hFile,NULL);
//设定加壳后的文件名,我采取了一个偷懒的简单方法。
//如果要严格做,需要获取文件路径,扩展名等等。
m_FilePathNamePacked=m_FilePathName.Left(m_FilePathName.GetLength()-4)+"_packed.exe";
CloseHandle(hFile);
//创建加壳后的文件句柄
hFile=CreateFile(m_FilePathNamePacked,GENERIC_READ|GENERIC_WRITE,FILE_SHARE_READ|FILE_SHARE_WRITE,
NULL,CREATE_ALWAYS,FILE_ATTRIBUTE_NORMAL,NULL);
if (hFile==INVALID_HANDLE_VALUE)
{
MessageBox("生成文件失败!","错误提示!",MB_OK);
}
//写入文件
if (!WriteFile(hFile,lpVirtualtAlloc,dwFileSize,&dwBufferRead,NULL))
{
MessageBox("写入文件失败!","错误提示!",MB_OK);
//卸载文件映射,关闭文件句柄
CloseHandle(hFile);
return;
}
//文件写入完毕后,释放内存
MemAllocFree();
//卸载文件映射,关闭文件句柄
CloseHandle(hFile);
//在编辑框中显示信息
m_RichEditProcInfo.ReplaceSel("文件加壳完成!\r\n");
MessageBox("创建文件成功!","成功提示",MB_OK);
}
上一篇:使用VC自己动手编写加壳程序(3)——检测文件格式
下一篇:使用VC自己动手编写加壳程序(5)——给程序添加一个区段
