【原创源码】用汇编写一个加密壳

0xAQ

加几点说明吧：
1、程序开发工具是用的RadASM，用RadASM可以直接编译，编译不成功遇到问题可以直接发上来
2、这不是工具，请读源代码，而不是直接使用，不然我就发到工具区去了
3、抛砖引玉，欢迎技术交流
————————————————————————————————————————————————————————————
前段时间用汇编写了一个加密壳，比较简单，总体框架应该没什么问题，分享下思路：
1、在原文件最后一节中添加我的补丁程序
2、加密原始PE文件所有节(这里也可以只加密指定的节)
3、处理原始文件中的数据目录(我是将它保存到补丁程序中的一个地址，并将原文件中的清空)
4、修改入口地址
加壳后程序会先运行补丁程序，我的补丁程序并没有做太多高深的对抗脱壳的东西
1、反调试
2、解密原始PE文件中的节
3、修复原始文件的IAT
4、修复原始文件中需要的重定位的地址
5、跳回原始文件中的执行入口

简单说明下程序：

首先选择一个待加壳的目标程序，压缩包里有一个用作测试的程序HelloWorld.exe
点击加壳按钮后，会在当前目录生成一个dst.exe文件，这个文件就是加壳后的

程序不难，仅作学习交流用




附上文档和代码
shell是打补丁的程序
patch是补丁
加密壳.zip (292.92 KB, 下载次数: 474)

2015-12-19 10:52 上传

点击文件名下载附件

0xAQ

1327067592 发表于 2015-12-19 20:33
我下载下来了，报毒，报毒正常易语言我知道的。
但是呢，我用了之后，易语言编译的软件就报毒了，之前编译 ...

1、这不是易语言，这是x86汇编
2、这是一个壳，肯定有感染功能（不会主动感染）
3、用之前，先看看源代码，自己去编译再用

1327067592

我下载下来了，报毒，报毒正常易语言我知道的。
但是呢，我用了之后，易语言编译的软件就报毒了，之前编译的都不报毒，我不知道是不是把易语言感染了，还是怎么回事，希望有大神能查查它这个程序到底有没有毒，也没有针对作者的意思，我只是反映我自己的情况，

a7816995

路过，感谢分享

BmFx

楼主好技术

amscracker

膜拜大神！自己写壳

Pathfinder

拿来看看,谢谢楼主分享

sisi111

自己用汇编写壳的都是大神，我只能反汇编

caxzan

楼主好厉害，求教！！！！！有附上思路就好啦

conosc

给楼主赞个，好厉害

0xAQ

caxzan 发表于 2015-12-19 11:32
楼主好厉害，求教！！！！！有附上思路就好啦

压缩包里有文档，代码里面的注释还算详细