本文基于Windows平臺對PE文件加殼的項目，經過一個月的緩沖，決定復習總結及分享下的我的心得。

主要工具： 010Editor、VS2017、x64dbg、LordPE、OD

實驗平臺：win10 64位

實現(xiàn)功能：加殼，壓縮，對代碼段加密。

一、加殼原理

要想弄明白怎么對PE文件加殼，首先需要對PE文件比較熟悉，而最快的熟悉PE文件的方法就是自己寫一個PE解析工具和寫殼了。

先只用工具010Editor完成一個手工加殼，那么就明白加殼的原理了。

首先進行手工加殼

先用VS隨便生成一個exe文件，我們使用它進行實驗。

可以先使用010Editor、LordPE、OD等工具查看節(jié)區(qū)個數(shù)，我實驗程序的原始區(qū)段（節(jié)區(qū)）個數(shù)是8個。

1. 給PE文件添加一個新區(qū)段

修改文件頭的NumberOfSection

使用010Editor打開測試程序，按alt+4出現(xiàn)一個模板菜單找到NumberOfSection把該數(shù)字加1，這里改為了9。

2. 設置新的區(qū)段頭

添加保存之后, 重新運行010Editor的模板(或者重啟010），區(qū)段就增加了一個。

設置整個新增加的區(qū)段的數(shù)據(jù),主要需要設置的字段如下:

① 區(qū)段名(可選)

② 區(qū)段數(shù)據(jù)的實際字節(jié)數(shù)Misc.VirtualSize

③ 區(qū)段的VirtualAddress(區(qū)段數(shù)據(jù)在內存中的RVA)，此值必須是: 上一個區(qū)段的VirtualAddress + 上一個區(qū)段經內存對齊粒度對齊后的大?。▋却鎸R大小是0x1000的整數(shù)倍）

④ 區(qū)段以文件對齊粒度對齊后的大小SizeOfRawData（文件對齊大小是0x200的整數(shù)倍）

⑤ 區(qū)段的PointerToRawData(區(qū)段數(shù)據(jù)在文件中的偏移)，此值必須是:上一個區(qū)段的PointerToRawData + 上一個區(qū)段的SizeOfRawData

⑥ 區(qū)段屬性主要設置區(qū)段為可讀可寫可執(zhí)行如下圖

對比上一個區(qū)段修改新添加的區(qū)段里的字段。

3. 添加區(qū)段數(shù)據(jù)

區(qū)段頭內容雖然設置好了，但真正重要的區(qū)段里的數(shù)據(jù)還需要插入到文件中，以擴充文件的大小，因為區(qū)段頭只是一個相當于目錄的存在，如果只有目錄而沒有內容，就會造成這個文件成為一個無效的PE文件。

把010Editor里的數(shù)據(jù)頁滾動到最下面按Ctrl+shift+i添加200h個(16進制)字節(jié)

4. 修改PE文件的擴展頭的SizeofImage

現(xiàn)在PE文件已經被擴充了大小，擴展頭中的映像大小必須更新，否則當PE文件加載到內存后，新區(qū)段的數(shù)據(jù)將無法得到正常加載。

這個字段的值記錄的是一個PE文件在內存中的大小，可以將之設置為: 最后一個區(qū)段在內存中的位置 + 最后一個區(qū)段在內存中的大小,即:

OptionalHeader.SizeofImage = 最后一個區(qū)段.VirtualAddress + 最后一個區(qū)段.SizeOfRawData按內存對齊粒度對齊的大小

保存之后，運行該程序，就能正常運行（中間某些環(huán)節(jié)操作錯了就會導致該文件無法正常運行）到此添加區(qū)段成功了。那么加殼也就成功了90%，這個新區(qū)段之后稱為殼代碼段。

5. 添加殼代碼

先找到擴展頭的DLL屬性字段，去掉隨機基址，把40 81改為 00 81后保存。

在這里為了方便，就使用LordPE來操作剩下的步驟了，先記錄原始的OEP入口點為11055，把他改為新區(qū)段的RVA 1F000然后點擊保存。

然后再使用OD打開，進入到入口點就是41F000，因為默認加載基址是0x400000， 發(fā)現(xiàn)全是00 00 00的字節(jié)，沒用內容。把第一行代碼改為跳轉到原來的入口點jmp 0x411055，然后打一個補丁，程序就能正常運行了。

這就是一個完整的殼流程了，雖然這個殼的內容只有一條跳轉到原入口點的代碼，但萬丈高樓平地起。基礎的東西弄懂了后面才能少遇見一些坑！

二、為什么用C++寫殼？

我的答案是簡單、便捷、方便新手入門。

很多常見的殼都用匯編寫的，確實，匯編確實可以寫出很多短小精悍、騷操作的代碼，這是C++所沒有的，但是C++支持內聯(lián)匯編，在一定程度上彌補了它的不足。

使用DLL動態(tài)庫文件保存殼代碼，我們稱它為存根部分（stub），直接把這個文件里的內容移植到我們新添加的區(qū)段里面，因為PE文件涉及到重定位，而DLL也是一個PE文件，移植后里面的數(shù)據(jù)就變得很容易修復了。

三、C++加殼流程

1. 處理加殼程序

在加殼過程中，有一個加殼器程序和stub.dll兩個文件，加殼器程序會把原文件（要加殼的文件）以文件方式讀取到堆內存，它還是以文件對齊粒度（200h）對齊的，而stub.dll是以不處理的方式讀取到了內存中，它是以內存粒度（1000h）對齊的。

使用LoadLibraryExA加載DLL并且第三個參數(shù)使用DONT_RESOLVE_DLL_REFERENCES的時候，他就不會對這個文件進行重定位等操作，是以原始形態(tài)加載到內存。

//將DLL以不會執(zhí)行代碼的標志加載到進程中.
HMODULE hStubDll = LoadLibraryExA("Stub.dll", 0,
DONT_RESOLVE_DLL_REFERENCES);

再自定義一個共享頭文件share.h，這個文件保存一些加殼程序和stub.dll中都會用到的一些數(shù)據(jù)，封裝的函數(shù)，及共用的結構體！

流程如下：

① 使用加殼器給被加殼程序添加新區(qū)段。

② 加密/壓縮被加殼程序。

③ 將stub的代碼段移植到新區(qū)段。

④ 將被加殼程序的OEP記錄到share.h中。

⑤ 將被加殼程序的EP設置到新區(qū)段。

⑥ 去掉隨機基址。

⑦ 保存為新文件。

移植數(shù)據(jù)到新區(qū)段，把整個stub.dll的代碼段.text移植到目標文件新添加的區(qū)段中，這樣就完成了最簡單加殼操作。

當然事實上并沒有那么簡單，stub.dll里的.text段里面的數(shù)據(jù)需要先進行重定位修復，修復完成后再移植過去，這樣殼區(qū)段才能正常運行起來。

首先根據(jù)stub.dll的重定位表獲取出stub.dll中.text段需要重定位的數(shù)據(jù)，然后把該數(shù)據(jù)

① 減去原始基址

② 減去原始代碼段Rva

③ 加上新基址（exe目標文件）

④ 加上新Rva （exe中新添加的區(qū)段RVA）

用C++寫代碼，首先封裝了很多常用的函數(shù)，如獲取DOS頭和NT頭，區(qū)段頭等。這樣會節(jié)省后面大量敲代碼的時間。

//獲取DOS頭
PIMAGE_DOS_HEADER GetDosHeader(char* pBase)
{
return (PIMAGE_DOS_HEADER)pBase;
}

//獲取NT頭
PIMAGE_NT_HEADERS GetNtHeader(char* pBase)
{
return (PIMAGE_NT_HEADERS)
(GetDosHeader(pBase)->e_lfanew + (DWORD)pBase);
}

例如獲取NT頭：

auto pNt = （PIMAGE_NT_HEADERS）GetNtHeader（pBase）;

C++里auto的功能是自動獲取后面數(shù)據(jù)類型，這也體現(xiàn)了C++的強大之處。

完整重定位代碼：

//修復stub的重定位
void FixStubReloc(char* pTarBuff, char*& hModule,DWORD dwNewBase,DWORD dwNewSecRva)
{
//獲取sutb.dll重定位va
auto pReloc = (PIMAGE_BASE_RELOCATION)
(GetOptHeader(hModule)->DataDirectory[5].VirtualAddress
+ hModule);
//獲取stub.dll的.text區(qū)段的Rva
DWORD dwTextRva = (DWORD)GetSecHeader(hModule, ".text")->VirtualAddress;

//修復重定位
while (pReloc->SizeOfBlock)
{
struct TypeOffset
{
WORD offset : 12;
WORD type : 4;
};
TypeOffset* pTyOf = (TypeOffset*)(pReloc + 1);
DWORD dwCount = (pReloc->SizeOfBlock - 8) / 2;
for (size_t i = 0; i < dwCount; i++)
{
if(pTyOf[i].type != 3)
continue;
//要修復的Rva
DWORD dwFixRva = pTyOf[i].offset + pReloc->VirtualAddress;
//要修復的地址
DWORD* pFixAddr = (DWORD*)(dwFixRva + (DWORD)hModule);
DWORD dwOldProc;
VirtualProtect(pFixAddr, 4, PAGE_READWRITE, &dwOldProc);
*pFixAddr -= (DWORD)hModule; //減去原始基址
*pFixAddr -= dwTextRva; //減去原始代碼段Rva
*pFixAddr += dwNewBase; //加上新基址
*pFixAddr += dwNewSecRva; //加上新Rva
VirtualProtect(pFixAddr, 4, dwOldProc, &dwOldProc);
}
//指向下一個重定位塊
pReloc = (PIMAGE_BASE_RELOCATION)
((DWORD)pReloc + pReloc->SizeOfBlock);
}
}

現(xiàn)在只是暫時搭建一個殼框架所以先不處理隨機基址的問題，所以要去掉隨機基址，后期再來解決隨機基址的問題。