|
盒子资源分类 |
![]() |
|
|
|
一个简单的压缩自检壳 |
![]() |
关键字:Hash 加壳 压缩自检壳 PE |
来 自:原创 |
平 台:,Win2k/XP/NT,Win2003 |
下载所需:0 火柴 |
深浅度:高级 |
完成时间:2008/6/28 |
发布者:dery |
发布时间:2008/7/19 |
编辑器:D2007 |
语 种:简体中文 |
分 类:文件 |
下载浏览:3549/10792 |
|
|
|
|
在盒子上拿了这么多年的东西,一直没有上传过什么作品。在看雪发布了这个加壳的例子,回应还不错,于是传到这里共享一下。By 木桩 2008
说明: 很简单的一个压缩自检壳,完全用Delphi编写。原理:将目标程序的压缩流附加到Loader的尾部,加载时还原道内存并执行。
压缩是通过Delphi自带的TCompressionStream压缩流实现的。而自效验部分是自己弄了个Hash函数,移位亦或了一下。没什么特别的东西,所以说是个“很”简单的壳... 作用就很明显了,给常用的几个程序都打上了这个壳后,有病毒感染会因为Hash值不一样而报警,这样就知道该Ghost恢复一下,不用实时装个后台进程一大堆的杀毒软件占资源了。具体的可以看压缩包2里的“说明.doc”。
起因是看到了Anskya的MemRun单元,感觉挺有意思的,于是写了这个压缩壳。由于没有做图标处理,所以加过壳的程序都是Loader的图标。PELoader.res中是一个全白的图标,你可以用资源编辑器改成其它的,比如“烧香的熊猫”,或者“在河边做俯卧撑的人”…… 囧
ps: 最好给Loader程序再打个UPX,这样可以减小加壳后的文件大小,还可以提高脱壳难度。 |
本站原创作品,未经作者许可,严禁任何方式转载;转载作品,如果侵犯了您的权益,请联系我们! |
相关文章 |
|
![]() |
|
相关评论 |
![]() |
共有评论18条
当前显示最后6条评论
|
blade9 |
2008/8/8 1:49:43 |
// 不知为什么,这个对话框弹不出来 MessageBox(0, 'PE结构异常!文件被病毒感染或破坏。', '警告!', MB_OK + MB_ICONWARNING);
uses Dialogs |
vsoft |
2008/8/8 8:04:45 |
TO:楼上的 MessageBox(0, 'PE结构异常!文件被病毒感染或破坏。', '警告!', MB_OK + MB_ICONWARNING); 不需要Dialogs单元,Showmessage才需要。 另外我说一下对话框弹不出来的问题: 我加了一些壳,它确是会弹出来,比如用:RL加Loader后,就会弹对话框了,dery 可以试试... |
dery |
2008/8/10 16:33:18 |
To blade9: 感谢!加了Dialogs单元真的能弹出来了-_- 想不通,明明是Windows API,却需要VCL的库才能正常显示。 不过最好不要引用Dialogs,加VCL的单元会导致Loader异常臃肿。
To vsoft: 嗯,看雪上也有人测试过,有些情况下是可以弹出来的(难道你加的壳是Delphi写的?),大概是引入表上的问题。不过依靠Beep()一样可以做到提示的作用,要是有闲心,还能用Beep普一首曲放里面...囧 |
dna32r |
2008/8/25 10:16:46 |
To dery: Dump不可怕~关键是你要把该加密的东西都加密 该Vm的东西都VM。让他Dump出来也还是需要修复。。。 里面再内嵌N多的VM和SDK让他Dump出来也修复不出来
To LZ: 内存执行没意思...简单的.PE Loader演示而已...准确的说连PE Loader都不算:D 还是好好的捣鼓捣鼓真正的加壳技术吧.其实就是感染技术...资源和导入表处理麻烦 一点其他的没啥.关键是你要熟悉PE |
blade9 |
2008/9/7 16:24:00 |
// 不知为什么,这个对话框弹不出来 {$R *.res} 去掉这个就有对话框了 |
qiugaoqil |
2009/1/1 10:06:40 |
这个实质上不算壳,而叫附加,为什么那么说呢? 1. 没有自己填写导入表 进程启动用到了灰鸽子的偷梁换柱,加壳用到了熊猫烧香的PE感染 2. 没有增加自己的代码,脱你的壳只要知道你的文件大小全部分离就OK了
|
我要发表评论 |
查看全部评论 |
![]() |
|
|
|