前面的内容介绍了通过编程解析了PE文件格式的基础数据,对于PE文件格式的解析其实并不难,难点在于兼容性。我们从前面的学习中可以看到,在PE文件结构中大多用的都是偏移地址,因此,只要偏移地址和实际的数据相符,那么PE文件格式有可能是嵌套的。
也就是说PE文件是可以变形的,只要保证其偏移地址和PE文件格式的结构基本就没多大问题。
对于PE可执行文件来说.为了保护可执行文件或者是压缩可执行文件,通常会对该文件进行加壳。接触过软件破解的人,应该都是清楚壳的概念的。关于壳的概念就不多说了,下面来写一个查壳的工具。
首先,用ASPack给前面写的程序加个壳,打丌ASPack加壳工具。
对测试用的软件进行一次夹克,不过在加壳前先用PEID查看一下。
可以看出,该程序是VISUALC++5.0DEBUG版本的程序,起始该程序是用WisualC++6.0写的,这好似PED识别有误的原因,不过只要用VISUALC++6.0进行编译选择RELEASE版本时,PEID是可以正确进行识别的,使用ASPACK对该程序进行加壳,加壳后再用PEID查壳,如图4-30所示。
中可以看出,ped识别出来文件被加过壳,且是用ASPACK进行加壳的,PEID是如何识别程序被加壳,加了那种壳呢?在PEID的目录下,有一个特征码文件,名为USERDB.TXT,打开这个文件,看一下大概内容,里边保存了壳的特征码,我们的任务就是来做一个这个壳的识别工具。
壳的识别是通过特征码来进行的,特征码的提取通常是选择文件的入口处,壳会修改程序的入口处,因此对于壳的特征码来说选择入口处比较合适,我们的工具主要是用来学习和演示用的,因此写的查壳工具要能识别两种类型,第一种类型是可以识别用VISUALC++6.0编译出来的文件,第二种类型就是可以识别ASPACK加壳后的程序,当然ASPACK加壳工具的版本众多,这里只要能识别上面演示的那个版本的ASPACK的就可以了。
如何提取特征码呢?程序无论是在磁盘哈桑,还是在内存中,都是以二进制的形式存在的,前面也提到过,特征码是从程序的入口处进行提取的,那么可以使用C32ASM以十六进制的形式打开这些文件,在入口处提取特征码,也可以用OD将程序载入内存后提取特征码,这里选择使用OD提取特征码,用OD载入未加壳的程序。
可以看到这就是未加壳程序的入口处代码,十六进制列中就是代码对应的十六进制编码,我们就是要提取这些十六进制编码。
有了这些特征码,就可以开始编程了,先来定义一个数据结构,用来保存特征码,该结构如下:
利用该数据结构定义两个保存特征码的全局变量。
程序界面是在PE查看器的基础上完成的。
提取了特征码,对于查壳工作就剩特征码匹配了,这个非常简单,只要用文件的入口处代码和特征码进行匹配,匹配相同就会给出相应的信息。
这样查壳的功能就已经完成。