捐赠 | 广告 | 注册 | 发布 | 上传 | 关于我们    
  粤ICP备10103342号-1 DELPHI盒子 | 盒子文章 | 盒子问答悬赏 | 最新更新 | 盒子检索 | 下载中心 | 高级搜索    
  精品专区 | 繁體中文 | 奖励公告栏 | 直通车账号登陆 | 关闭GOOGLE广告 | 临时留言    
盒子资源分类
全部展开 - 全部合拢
一个简单的压缩自检壳
关键字:Hash 加壳 压缩自检壳 PE
来 自:原创
平 台:,Win2k/XP/NT,Win2003 下载所需:0 火柴
深浅度:高级 完成时间:2008/6/28
发布者:dery 发布时间:2008/7/19
编辑器:D2007 语  种:简体中文
分 类:文件 下载浏览:3549/10792
加入到我的收藏
下载错误报错
登陆以后才能下载
 用户名:
 密 码:
自动登陆(30天有效)
图片如果打不开,说明流量不够了,请稍候下载……
在盒子上拿了这么多年的东西,一直没有上传过什么作品。在看雪发布了这个加壳的例子,回应还不错,于是传到这里共享一下。By 木桩 2008

说明:
很简单的一个压缩自检壳,完全用Delphi编写。原理:将目标程序的压缩流附加到Loader的尾部,加载时还原道内存并执行。

压缩是通过Delphi自带的TCompressionStream压缩流实现的。而自效验部分是自己弄了个Hash函数,移位亦或了一下。没什么特别的东西,所以说是个“很”简单的壳... 
作用就很明显了,给常用的几个程序都打上了这个壳后,有病毒感染会因为Hash值不一样而报警,这样就知道该Ghost恢复一下,不用实时装个后台进程一大堆的杀毒软件占资源了。具体的可以看压缩包2里的“说明.doc”。


起因是看到了Anskya的MemRun单元,感觉挺有意思的,于是写了这个压缩壳。由于没有做图标处理,所以加过壳的程序都是Loader的图标。PELoader.res中是一个全白的图标,你可以用资源编辑器改成其它的,比如“烧香的熊猫”,或者“在河边做俯卧撑的人”…… 囧

ps: 最好给Loader程序再打个UPX,这样可以减小加壳后的文件大小,还可以提高脱壳难度。
Google
 
本站原创作品,未经作者许可,严禁任何方式转载;转载作品,如果侵犯了您的权益,请联系我们
龙脉加密锁 15元起 Grid++Report 报表 申请支付@网
 相关文章
没有相关文章
相关评论
共有评论18条 当前显示最后6条评论
blade9 2008/8/8 1:49:43
// 不知为什么,这个对话框弹不出来
      MessageBox(0, 'PE结构异常!文件被病毒感染或破坏。', '警告!', MB_OK + MB_ICONWARNING);

uses Dialogs
vsoft 2008/8/8 8:04:45
TO:楼上的
MessageBox(0, 'PE结构异常!文件被病毒感染或破坏。', '警告!', MB_OK + MB_ICONWARNING);
不需要Dialogs单元,Showmessage才需要。
另外我说一下对话框弹不出来的问题:
我加了一些壳,它确是会弹出来,比如用:RL加Loader后,就会弹对话框了,dery 可以试试...
dery 2008/8/10 16:33:18
To blade9:
感谢!加了Dialogs单元真的能弹出来了-_-  想不通,明明是Windows API,却需要VCL的库才能正常显示。
不过最好不要引用Dialogs,加VCL的单元会导致Loader异常臃肿。

To vsoft:
嗯,看雪上也有人测试过,有些情况下是可以弹出来的(难道你加的壳是Delphi写的?),大概是引入表上的问题。不过依靠Beep()一样可以做到提示的作用,要是有闲心,还能用Beep普一首曲放里面...囧
dna32r 2008/8/25 10:16:46
To dery:
Dump不可怕~关键是你要把该加密的东西都加密
该Vm的东西都VM。让他Dump出来也还是需要修复。。。
里面再内嵌N多的VM和SDK让他Dump出来也修复不出来

To LZ:
内存执行没意思...简单的.PE Loader演示而已...准确的说连PE Loader都不算:D
还是好好的捣鼓捣鼓真正的加壳技术吧.其实就是感染技术...资源和导入表处理麻烦
一点其他的没啥.关键是你要熟悉PE
blade9 2008/9/7 16:24:00
// 不知为什么,这个对话框弹不出来
{$R *.res} 去掉这个就有对话框了
qiugaoqil 2009/1/1 10:06:40
这个实质上不算壳,而叫附加,为什么那么说呢? 
  1. 没有自己填写导入表
     进程启动用到了灰鸽子的偷梁换柱,加壳用到了熊猫烧香的PE感染
  2. 没有增加自己的代码,脱你的壳只要知道你的文件大小全部分离就OK了
我要发表评论 查看全部评论
 
  DELPHI盒子版权所有 技术支持:深圳市麟瑞科技有限公司 1999-2024 V4.01 粤ICP备10103342号-1 更新RSS列表