网络安全编程：PE编程实例之查壳工具

PE文件结构中大多用的是偏移地址，因此，只要偏移地址和实际的数据相符，那么PE文件格式有可能是嵌套的。也就是说，PE文件是可以变形的，只要保证其偏移地址和PE文件格式的结构基本就没多大问题。

对于PE可执行文件来说，为了保护可执行文件或者是压缩可执行文件，通常会对该文件进行加壳。接触过软件破解的人应该都清楚壳的概念。下面来写一个查壳的工具。

首先，用ASPack给前面写的程序加个壳。打开ASPack加壳工具，如图1所示。

图1 ASPack加壳工具界面

对测试用的软件进行一次加壳，不过在加壳前先用PEiD查看一下，如图2所示。

图2 PEiD查壳

从图2可以看出，该程序是Visual C++ 5.0 Debug版的程序。其实该程序是用Visual C++ 6.0写的，这里是PEiD识别有误。不过只要用Visual C++ 6.0进行编译选择Release版时，PEiD是可以正确进行识别的。使用ASPack对该程序进行加壳，然后用PEiD查壳，如图3所示。

图3 用PEiD查看加壳后的文件

从图3中可以看出，PEiD识别出文件被加过壳，且是用ASPack进行加壳的。PEiD如何识别程序被加壳，以及加了哪种壳呢？在PEiD的目录下有一个特征码文件，名为“userdb.txt”。打开这个文件，看大概内容就能知道里边保存了壳的特征码。程序员的任务就是自己实现一个这个壳的识别工具。

壳的识别是通过特征码进行的，特征码的提取通常是选择文件的入口处。壳会修改程序的入口处，因此对于壳的特征码来说，选择入口处比较合适。这里的工具主要是用来学习和演示用的，因此写的查壳工具要能识别两种类型，第一种类型是可以识别用Visual C++ 6.0编译出来的文件，第二种类型是可以识别ASPack加壳后的程序。当然，ASPack加壳工具的版本众多，这里只要能识别上面所演示版本的ASPack就可以了。

如何提取特征码呢？程序无论是在磁盘上还是在内存中，都是以二进制的形式存在的。特征码是从程序的入口处进行提取的，那么可以使用C32Asm以十六进制的形式打开这些文件，在入口处提取特征码，也可以用OD将程序载入内存后提取特征码。这里选择使用OD提取特征码。用OD载入未加壳的程序，如图4所示。

图4 OD载入为加壳文件的入口处

可以看到，这就是未加壳程序的入口处代码。在图4中，“HEX数据”列中就是代码对应的十六进制编码，这里要做的就是提取这些十六进制编码。提取结果如下：

"\x55\x8B\xEC\x6A\xFF\x68\x00\x65\x41\x00"\
"\x68\xE8\x2D\x40\x00\x64\xA1\x00\x00\x00"\
"\x00\x50\x64\x89\x25\x00\x00\x00\x00\x83"\
"\xC4\x94"

根据这个步骤，把ASPack的特征码也提取出来，提取结果如下：

"\x60\xE8\x03\x00\x00\x00\xE9\xEB\x04\x5D"\
"\x45\x55\xC3\xE8\x01\x00\x00\x00\xEB\x5D"\
"\xBB\xED\xFF\xFF\xFF\x03\xDD\x81\xEB\x00"
"\xC0\x01"

有了这些特征码，就可以开始编程了。先来定义一个数据结构，用来保存特征码，该结构如下：

#defineNAMELEN20
#defineSIGNLEN32
typedefstruct_SIGN
{
charszName[NAMELEN];
BYTEbSign[SIGNLEN+1];
}SIGN,*PSIGN;

利用该数据结构定义2个保存特征码的全局变量，具体如下：

SIGNSign[2]=
{
{
//VC6
"VC6",
"\x55\x8B\xEC\x6A\xFF\x68\x00\x65\x41\x00"\
"\x68\xE8\x2D\x40\x00\x64\xA1\x00\x00\x00"\
"\x00\x50\x64\x89\x25\x00\x00\x00\x00\x83"\
"\xC4\x94"
},
{
//ASPACK
"ASPACK",
"\x60\xE8\x03\x00\x00\x00\xE9\xEB\x04\x5D"\
"\x45\x55\xC3\xE8\x01\x00\x00\x00\xEB\x5D"\
"\xBB\xED\xFF\xFF\xFF\x03\xDD\x81\xEB\x00"
"\xC0\x01"
}};

程序界面是在PE查看器的基础上完成的，如图5所示。

图5 查壳程序结果

提取特征码后，查壳工作只剩特征码匹配了。这非常简单，只要用文件的入口处代码和特征码进行匹配，匹配相同就会给出相应的信息。查壳的代码如下：

VOIDCPeParseDlg::GetPeInfo()
{
PBYTEpSign=NULL;
//定位文件入口位置
pSign=(PBYTE)((DWORD)m_lpBase
+m_pNtHdr->OptionalHeader.AddressOfEntryPoint);
//比较入口特征码
if(memcmp(Sign[0].bSign,pSign,SIGNLEN)==0)
{
SetDlgItemText(IDC_EDIT_PEINFO,Sign[0].szName);
}
elseif(memcmp(Sign[1].bSign,pSign,SIGNLEN)==0)
{
SetDlgItemText(IDC_EDIT_PEINFO,Sign[1].szName);
}
else
{
SetDlgItemText(IDC_EDIT_PEINFO,"未知");
}
}

这样，查壳程序的功能就完成了。在程序中提取的特征码的长度为32字节，由于这里只是一个简单的例子，大家在提取特征码的时候，为了提高准确率，需要多进行一些测试。