我正在开发一个可执行的 Packer,到目前为止我已经完成了压缩和加密部分。现在我必须将解压缩/解密存根/例程存储在压缩文件中。我的问题是这个存根是用十六进制代码编写的还是我可以直接放置汇编指令?如果以后可以,那怎么办?
【问题讨论】:
标签: c inline-assembly packing portable-executable
创建一个有效的打包二进制文件需要:
根据您的代码大小,您可能希望使用部分填充,或添加您自己的部分。
然后,插入您的代码 - 因为您似乎更喜欢直接插入 ASM - 我的建议是使解密代码与 EIP 无关,然后将其与 YASM 之类的东西组装成纯代码 (-o),并包括直接编译成二进制代码。
我写了几个mini-packers 作为开始参考可能会有所帮助,因为它们还“插入”了汇编代码。
【讨论】:
您必须有具有“可读”和“可写”和“包含代码”和“可执行”特征的部分
Address of Entry Point: 0x00019860
Section Header #1
Name: UPX0
Virtual Size: 0x00010000 (65536)
Virtual Address: 0x00001000
Size of Raw Data: 0x00000000 (0)
File Pointer to Raw Data: 0x00000400
File Pointer to Relocation Table: 0x00000000
File Pointer to Line Numbers: 0x00000000
Number of Relocations: 0
Number of Line Numbers: 0
Characteristics: 0xE0000080
Section contains uninitialized data.
Section is executable.
Section is readable.
Section is writeable.
Section Header #2
Name: UPX1
Virtual Size: 0x00009000 (36864)
Virtual Address: 0x00011000
Size of Raw Data: 0x00008A00 (35328)
File Pointer to Raw Data: 0x00000400
File Pointer to Relocation Table: 0x00000000
File Pointer to Line Numbers: 0x00000000
Number of Relocations: 0
Number of Line Numbers: 0
Characteristics: 0xE0000040
Section contains initialized data.
Section is executable.
Section is readable.
Section is writeable.
Section Header #3
Name: .rsrc
Virtual Size: 0x00001000 (4096)
Virtual Address: 0x0001A000
Size of Raw Data: 0x00000800 (2048)
File Pointer to Raw Data: 0x00008E00
File Pointer to Relocation Table: 0x00000000
File Pointer to Line Numbers: 0x00000000
Number of Relocations: 0
Number of Line Numbers: 0
Characteristics: 0xC0000040
Section contains initialized data.
Section is readable.
Section is writeable.
简而言之,UPX 生成一个包含压缩代码和解压缩例程的部分,以及第二个未初始化但允许具有可写和可执行特性的部分。解压器例程将代码解压到未初始化的部分并继续执行原始入口点...
【讨论】: