使用VC自己动手编写加壳程序

1、使用VC自己动手编写加壳程序阅读对象：想写壳的新手。高手掠过，本文仅限于写壳入门。基本要求：了解VC+6.0基本使用方法；了解PE格式，不熟悉的地方能够通过查阅资料弄懂；(1)生成界面，完成文件操作主要内容：生成界面，完成打开文件对话框。首先说一下写作原因。最初学习加壳技术，网上确实能找到一些源代码，但90%的没有注释，所以很多代码都看不懂。即使某个函数大体功能知道，但其中的小细节由于没有注释，也不知道作者的用途是什么，所以这一过程相当痛苦。当时对于我来说，一个简单的加壳程序也是相当复杂。有时候想修改他们的程序，但程序结构牵一发而动全身，不得不放弃。有些程序前面90%的代码都在做铺垫和打基础，

2、而最后的10%是合并功能，往往我们在分析前面的90%中的20%就没有耐心了，因为铺垫太多，让我们感觉没有成就感，感觉不到那么多代码是干嘛的。所以本文在写作时，每一部分都会实实在在的实现一部分功能，让我们有些成就感，这样才有兴趣。写此文是给像我一样想写壳却无从下手的人一个参考。不过本人现在也是研究阶段，能力有限，文章一方面是总结一下自己，另一方面也希望和大家多多交流。壳的理论我就不多说了。一开始就说一大堆理论同样会使学习失去兴趣，我就喜欢边动手边理论。开始吧。打开VC+6.0，新建工程，工程名称“PEPackef,选择“MFCAppWizard(exe)”,下一步，选择基于对话框的应用程序。在对

3、话框中删除默认的确定”、取消”按钮，还有默认的文本信息。如下图所示：然后按F7组建（编译）程序，可以从IDE的提示窗口中看到是否生成成功，按CTRL+F5程序是能够正常运行的，不过是一个什么都没有的对话框。现在我们要添加元素了。添加两个组框、一个编辑框、三个按钮、一个Rich编辑框。现在修改其属性。在对话框上点击右键，选择属性”，打开属性对话框，在对话框的左上角有个像钉子一样的图标，点击一下，这样属性对话框就会像钉子一样保持可见了，我们就不需要每修改一个控件属性的时候就点一下右键选择了。修改属性后的控件ID和标题如下:控件类型ID值标题组框IDC_STATIC请选择文件组框IDC_STATIC

4、文件处理信息按钮IDCBUTTONOPENFILE选择文件按钮IDCBUTTONPACKING开始加壳按钮IDC_BUTTON_ABOUT关于本程序编辑框IDC_EDIT_FILEPATHNAME无Rich编辑框IDCRICHEDITPROCINFO无对话框IDD_PEPACKER_DIALOGPEPackerV1.0设置好的界面如下图所示:IrlnrIIir,fiIiib1in)IihriritpiIi?Iii-iIitfi>IiifIihrII|liHfffflllM小品谙选择空件-?:研选择文件!_-：开始加壳关于，程序：文件处理信息jRichEdiF现在按F7编译，CTRL+F5

5、运行一下，发现程序好没有动静。什么反应也没有，如果把RichEdit删除掉，再编译，再运行就可以。这个问题是由于RichEidt没有初始化引起的，微软的说法是要在APP的初始化函数中加入初始化函数：AfxInitRichEdit()。那我们现在加入。在classview视图中，展开CPEPackerApp类，双击InitInstance()函数，在AfxEnableControlContainer();后面添加代码AfxInitRichEdit();，添加后的函数代码如下：BOOLCPEPackerApp:InitInstance()AfxEnableControlContainer();Af

6、xInitRichEdit();/Standardinitialization/Ifyouarenotusingthesefeaturesandwishtoreducethesize/ofyourfinalexecutable,youshouldremovefromthefollowing/thespecificinitializationroutinesyoudonotneed.此时再F7编译，CTRL+F5运行，就可以看到程序正常运行了。再修改一下对话框的属性，右键，选择属性”后，在样式”标签中，勾选上最小化框N"，这样对话框就可以最小化了。当然你还可以选择其它属性。现在来添加成

7、员变量。在编辑框上点击右键，选择建立类向导”，打开类向导对话框，然后选择"MemberVariables”标签。注意Project:里面是否是PEPacker,Classname:里面是否是CPEPackerDlg,然后在ControlIDs:里面找到IDC_EDIT_FILEPATHNAME,双击。或者点击右边的“AddVarible.按钮，在"AddMemberVarible对话框中添加成员变量。变量名为"m_FilePathName”,Category选择"Value:变量类型选择"CString:然后确定。用同样的方法给控件IDC_RI

8、CHEDIT_PROCINFO添加成员变量。变量名为m_RichEditProcInfo,注意category选择Control,变量类型为CRichEditCtrl。最后确定。双击选择文件”按钮，弹出添加程序函数对话框，函数名你为：OnButtonOpenfile,我们确定即可，使用默认的，当然也可以修改。此时来到了PEPackerDlg.cpp文件中，界面默认的位置是刚刚添加的函数编辑处。代码如下：voidCPEPackerDlg:OnButtonOpenfile()/TODO:Addyourcontrolnotificationhandlercodehere此时在此函数中添加如下代码：代

9、码我会作注释。voidCPEPackerDlg:OnButtonOpenfile()/TODO:Addyourcontrolnotificationhandlercodehere/设置文件过滤，默认打开哪些文件类型，最后“|结束。charszFilter="可执行文件(*.exe)|*.exe|全部文件(*.*)|*.*|"/通过查阅MSDN,了解CFileDialog中构造函数的用法。/第一个参数为TRUE,表示打开文件对话框；为FALSE,表示保存对话框。/其他详细参数说明见后面。CFileDialogdlg(TRUE,NULL,NULL,OFN_HIDEREADONL

10、Y|OFN_OVERWRITEPROMPT,szFilter,NULL);/通过模态对话框显示文件对话框if(dlg.DoModal()=IDOK)/获取文件路径m_FilePathName=dlg.GetPathName();/设置RICHEDIT内容/将指针设置到编辑框最后m_RichEditProcInfo.SetSel(-1,-1);/替换编辑框最后的内容，实际上就是在最后添加内容。m_RichEditProcInfo.ReplaceSel("文件路径：");m_RichEditProcInfo.ReplaceSel(m_FilePathName);/用获取的文件路

11、径更新编辑框内容。UpdateData(FALSE);添加完成后，本次功能结束。编译运行即可，运行界面如下:PEPackerVI.0作者;天漏客http:/lilu.itasejPx请选择文件消熏目临时文件夹««|匚落舞需笑R开始加壳J关于本程序1文件处理信息文件路径：G消黑客临时文件夹««其中CFileDialog类的详细说明如下：CFileDialog文件选择对话框的使用：首先构造一个对象并提供相应的参数，构造函数原型如下：CFileDialog:CFileDialog(BOOLbOpenFileDialog,LPCTSTRlpszDefExt=NU

12、LL,LPCTSTRlpszFileName=NULL,DWORDdwFlags=OFN_HIDEREADONLY|OFN_OVERWRITEPROMPT,LPCTSTRlpszFilter=NULL,CWnd*pParentWnd=NULL);参数意义如下：bOpenFileDialog为TRUE则显示打开对话框，为FALSE则显示保存对话文件对话框。IpszDefExt指定默认的文件扩展名。IpszFileName指定默认的文件名。dwFlags指明一些特定风格。lpszFilter是最重要的一个参数，它指明可供选择的文件类型和相应的扩展名。参数格式如："ChartFiles(*

13、.xlc)|*.xlc|WorksheetFiles(*.xls)|*.xls|DataFiles(*.xlc;*.xls)|*.xlc;*.xls|AllFiles(*.*)|*.*|"|分隔，同种类型文件的|分隔，末尾用|指明。在返回后可以利用下面的函数得到用户选择：得到完整的文件名，包括目录名和扩展名如：得到完整的文件名，包括扩展名如：test1.txt得到完整的文件扩展名，如：txt得到完整的文件名，不包括目录名和扩展名如：对于选择了多个文件的情况得到第一个文件类型说明和扩展名间用扩展名间可以用；分割，每种文件类型间用pParentWnd为父窗口指针。创建文件对话框可以使用D

14、oModal(),CStringCFileDialog:GetPathName()c:estest1.txtCStringCFileDialog:GetFileName()CStringCFileDialog:GetExtName()CStringCFileDialog:GetFileTitle()test1POSITIONCFileDialog:GetStartPosition()文件位置。CStringCFileDialog:GetNextPathName(POSITION&pos)对于选择了多个文件的情况得到下一个文件位置，并同时返回当前文件名。但必须已经调用过POSITIONC

15、FileDialog:GetStartPosition()来得到最初的POSITION变量。(2)使用内存映射生成文件主要内容：打开文件，使用内存映射生成文件。本次要完成的任务是：点击开始加壳”按钮，生成加壳后的文件，当然这是假想加过壳,并没有加壳。实际上就是将文件改名，复制成另外一个文件，但又不同于复制。因为是先将文件创建内存映射，然后再通过映射指针写回文件。本次的界面效果:首先添加几个和文件名相关的成员变量。在classview中，双击PEPackerDlg函数,在类的定义中申明成员变量:public:加壳后的文件名CStringm_FilePathNamePacked;/下面来添加开始加

16、壳”按钮的函数。在开始加壳”按钮上双击，将出现新建函数的提示，确定即可。也可以点击工具栏上的查看”菜单，选择建立类向导”，选中“MessageMaps标签。Project:设置为PEPacker,Classname:设置为CPEPackerDlg,ObjectIDs选中IDC_BUTTON_PACKING,Messages:选中BN_CLICKED,然后点击右边的“AddFunction.按钮，添加函数“OnButtonPacking即可。空的函数为:voidCPEPackerDlg:OnButtonPacking()/TODO:Addyourcontrolnotificationhandle

17、rcodehere现在在该函数中添加内容。代码部分我都做了注释，所以我就不多说了。voidCPEPackerDlg二OnButtonPacking()(/TODO:Addyourcontrolnotificationhandlercodehere文件句柄文件映射句柄创建映射的头指针文件大小实际读取字节HANDLEhFile;/HANDLEhMapping;/LPVOIDlpHeadBase;/DWORDdwFileSize;/DWORDdwBufferRead;/打开文件hFile=CreateFile(m_FilePathName,GENERIC_READ,FILE_SHARE_READ,N

18、ULL,OPEN_EXISTING,FILE_ATTRIBUTE_NORMAL,NULL);/如果文件打开失败，就弹出对话框，并返回。if(hFile=INVALID_HANDLE_VALUE)(MessageBox("打开文件失败！”,"错误提示",MB_OK);return;/获取文件大小dwFileSize=GetFileSize(hFile,NULL);/设定加壳后的文件名，我采取了一个偷懒的简单方法。/如果要严格做，需要获取文件路径，扩展名等等。m_FilePathNamePacked=m_FilePathName.Left(m_FilePathName

19、.GetLength()-4)+”_packed.exe"/创建文件映射。如果对文件映射不了解，请自行查阅相关资料。hMapping=CreateFileMapping(hFile,NULL,PAGE_READONLY,0,0,NULL);/如果创建映射失败，弹出对话框，并关闭文件句柄，然后返回。if(hMapping=NULL)(MessageBox("创建文件映射失败！","错误提示",MB_OK);CloseHandle(hFile);/关闭创建的文件句柄return;/将文件映射对象映射到当前应用程序的地址空间中lpHeadBase=M

20、apViewOfFile(hMapping,FILE_MAP_READ,0,0,0);if(lpHeadBase=NULL)MessageBox("文件映射地址失败！","错误提示",MB_OK);CloseHandle(hMapping);/关闭映射句柄CloseHandle(hFile);/关闭文件句柄return;/创建加壳后的文件句柄hFile=CreateFile(m_FilePathNamePacked,GENERIC_READ|GENERIC_WRITE,FILE_SHARE_READ|FILE_SHARE_WRITE,NULL,CREAT

21、E_ALWAYS,FILE_ATTRIBUTE_NORMAL,NULL);if(hFile=INVALID_HANDLE_VALUE)MessageBox("生成文件失败！”,”错误提示！",MB_OK);/写入文件if(!WriteFile(hFile,lpHeadBase,dwFileSize,&dwBufferRead,NULL)MessageBox("写入文件失败！”,”错误提示！",MB_OK);/卸载文件映射，关闭文件句柄UnmapViewOfFile(lpHeadBase);CloseHandle(hMapping);CloseHa

22、ndle(hFile);return;/卸载文件映射，关闭文件句柄UnmapViewOfFile(lpHeadBase);CloseHandle(hMapping);CloseHandle(hFile);/在编辑框中显示信息m_RichEditProcInfo.ReplaceSel("文件加壳完成！rn");MessageBox("创建文件成功！”,"成功提示",MB_OK);)针对于上次还要修改的地方：打开对话框资源，修改RichEdit的属性，勾选多行”和自动垂直滚动”，去掉自动水平滚动”。在OnButtonOpenfile()函数中，在代

23、码/替换编辑框最后的内容，实际上就是在最后添加内容。m_RichEditProcInfo.ReplaceSel("文件路径：");m_RichEditProcInfo.ReplaceSel(m_FilePathName);的后面添加：m_RichEditProcInfo.ReplaceSel("rn");(3)检测文件格式主要内容：检测文件格式(是否为PE格式的EXE文件)本次的主要内容为检测文件是否为PE格式，且是否为EXE文件。DLL等文件也是PE格式,但其加壳的一些数据处理方式不一样，最明显的一个差别就是DLL文件需要重定位。本系统现在暂时只处理E

24、XE可执行文件。截图效果：(在RichEdit中多了个文件格式提示)首先添加一个成员函数：IsPe,用来判断文件格式。如果满足就返回TRUE,否则返回FALSE。在classview视图中，找到CPEPackerDlg类，在其上面点击右键，选择"AddmemberFunction.，”函数类型为BOOL,函数描述为IsPE(HANDLEhFile),Access为public,然后确定，编辑此函数。/检测文件是否是PE可执行文件格式BOOLCPEPackerDlg:IsPE(HANDLEhFile)WORDwTemp;/暂存读取的字节DWORDdwBufferRead;/实际读取的字

25、节数DWORDdwOffset;/PE头偏移位置DWORDdwOEP;程序OEP/读取MZ标志SetFilePointer(hFile,0,NULL,FILE_BEGIN);ReadFile(hFile,&wTemp,2,&dwBufferRead,NULL);/因为二进制目标文件反着顺序存储，所以要反过来判断。if(wTemp!='ZM')returnFALSE;/读取PE头位置SetFilePointer(hFile,0x3C,NULL,FILE_BEGIN);ReadFile(hFile,&dwOffset,4,&dwBufferRead,

26、NULL);/读取PE头信息SetFilePointer(hFile,dwOffset,NULL,FILE_BEGIN);ReadFile(hFile,&wTemp,2,&dwBufferRead,NULL);/判断是否为PE,同样要反着判断。if(wTemp!='EP')returnFALSE;/获取文件OEPSetFilePointer(hFile,dwOffset+0x28,NULL,FILE_BEGIN);ReadFile(hFile,&dwOEP,4,&dwBufferRead,NULL);/如果OEP为0。if(!dwOEP)retu

27、rnFALSE;/获取文件特征，判断是exe还是dll文件。SetFilePointer(hFile,dwOffset+0x16,NULL,FILE_BEGIN);ReadFile(hFile,&wTemp,2,&dwBufferRead,NULL);if(wTemp&0x2000!=0)returnFALSE;returnTRUE;CreateFile最后在OnButtonPacking函数中，运用此函数。将此函数添加在打开文件和创建映射之间。如果文件格式正确，就创建映射；否则，就返回。添加后的代码为：/如果文件打开失败，就弹出对话框，并返回。if(hFile=INV

28、ALID_HANDLE_VALUE)MessageBox("打开文件失败！”,"错误提示",MB_OK);return;)/第三次加的内容/判断文件格式if(!IsPE(hFile)(m_RichEditProcInfo.ReplaceSel("错误提示：文件不是PE格式！r'n");MessageBox("文件不是PE可执行文件"，"错误提示！",MB_OK);return;)/获取文件大小dwFileSize=GetFileSize(hFile,NULL);/设定加壳后的文件名，我采取了一个偷

29、懒的简单方法。/如果要严格做，需要获取文件路径，扩展名等等。m_FilePathNamePacked=m_FilePathName.Left(m_FilePathName.GetLength()-4)+"_packed.exe"(3)通过分配虚拟内存生成文件主要内容：给文件分配虚拟内存并载入内存，然后输出加壳后文件。将PE文件载入内存后再操作有三种方法。第一是通过文件映射的基址，其内容在第二节中已经应用并实现。第二是获取获取文件大小，然后分配相应大小的内存。第三是模拟PE文件的加载机制，根据PE文件的镜像大小分配相应大小的内存，然后将相应的区块载入到对应的虚拟地址空间中。本

30、次内容将使用第三种方式加载文件到内存。由于PE文件在运行时，对文件中数据的读取都是通过RVA(相对虚拟地址)进行的，如果采用第一种或者第二种方式加载到内存，那么当读取数据的时候，还需要将RVA转换成Offset(文件偏移)，这种转换虽然说不麻烦，但如果需要转换的地方较多，有时也会出错，所以本系统的加壳也将采用第二种方式加入到内存。载入内存用先通过VirtualAlloc函数分配虚拟内存空间，然后通过ReadFile读入到内存。根据PE文件的加载机制，PE文件会按照区段进行载入，每个区段的虚拟地址在区段表中都有说明。最后的效果图。首先添加两个成员函数：MemAlloc和MemAllocFree,

31、在classview视图中的CPEPackerDlg类上点击右键，选择"addmemberfunction.。函数类型和说明分别如下：BOOLMemAlloc(HANDLEhFile);分配内存voidMemAllocFree();/释放内存然后再添加几个成员变量，在classview视图中的CPEPackerDlg类上点击右键，选择"addmembervariables.”。变量类型和名称如下，Access都选择public。定义的都是指针类型变量。LPVOIDPIMAGE_DOS_HEADERPIMAGE_NT_HEADERSPIMAGE_OPTIONAL_HEADER

32、PIMAGE_SECTION_HEADERlpVirtualtAlloc;/内存分配指针pDosHeader;/DOS头指针pNtHeader;/NT头pOptionalHeader;/可选头指针pSectionHeader;/区块表指针此时我们把两个编辑框的属性设置为只读。第一个编辑框设置为只读后，获取文件路径时方便点，如果用户不是通过按钮来选择文件，而是手动输入文件路径，那么就还需要一个判断和获取文件。所以为了省去这种麻烦，我们干脆设置为只读算了。第二个编辑框本来只输出信息，不需要修改，所以设置为只读。设置方法。在资源视图中打开该对话框，然后在编辑框的属性中选择样式”标签，最后面有个只读”

33、复选框，勾上就行了。编写代码。MemAlloc函数的代码如下，我都做了注释，就不多说了。/文件分配虚拟内存BOOLCPEPackerDlg:MemAlloc(HANDLEhFile)DWORDdwSizeOfImage;/映像大小DWORDdwSizeOfHeaders;/文件头大小DWORDdwBufferRead;/文件实际读入大小DWORDdwOffset;/PE头偏移charszBuffer512;/调试用DWORDdwNumOfSections;/区段表个数DWORDi;/获取文件的映彳t大小，从PE头中读取。SetFilePointer(hFile,0x3C,NULL,FILE_B

34、EGIN);ReadFile(hFile,&dwOffset,4,&dwBufferRead,NULL);读取PE头位置SetFilePointer(hFile,dwOffset+0x50,NULL,FILE_BEGIN);ReadFile(hFile,&dwSizeOfImage,4,&dwBufferRead,NULL);/读取文件映像大小SetFilePointer(hFile,dwOffset+0x54,NULL,FILE_BEGIN);读取文件头大小ReadFile(hFile,&dwSizeOfHeaders,4,&dwBufferR

35、ead,NULL);/sprintf(szBuffer,”文件头：%lx,文件头大小：%lx,文件映像大小：lxrn",dwOffset,dwSizeOfHeaders,dwSizeOfImage);m_RichEditProcInfo.ReplaceSel(szBuffer);/分配虚拟内存/MEM_RESERVE保留分配/MEM_COMMIT表示提交分配/申请内存的同时提交分配，具体用法可以参考MSDN。lpVirtualtAlloc=VirtualAlloc(NULL,dwSizeOfImage,MEM_RESERVE|MEM_COMMIT,PAGE_READWRITE);/如

36、果分配失败if(lpVirtualtAlloc=NULL)(returnFALSE;)/将文件读入到内存中/首先读取文件头SetFilePointer(hFile,0,NULL,FILE_BEGIN);ReadFile(hFile,lpVirtualtAlloc,dwSizeOfHeaders,&dwBufferRead,NULL);/获取PE文件头相关指针pDosHeader=(PIMAGE_DOS_HEADER)lpVirtualtAlloc;pNtHeader=(PIMAGE_NT_HEADERS)(pDosHeader->e_lfanew+(DWORD)pDosHeade

37、r);pOptionalHeader=(PIMAGE_OPTIONAL_HEADER)(&pNtHeader->OptionalHeader);/IMAGE_FIRST_SECTION是VC下定义的一个宏，用来获取区段表的头指针pSectionHeader=IMAGE_FIRST_SECTION(pNtHeader);/然后分区块进行读入dwNumOfSections=pNtHeader->FileHeader.NumberOfSections;for(i=0;i<dwnumofsections;i+)/将指针设定到每个区块的开始SetFilePointer(hFil

38、e,(pSectionHeader+i)->PointerToRawData,NULL,FILE_BEGIN);/根据每个区块的原始大小读入到相应的虚拟地址中去。ReadFile(hFile,(LPVOID)(DWORD)lpVirtualtAlloc+(pSectionHeader+i)->VirtualAddress),(pSectionHeader+i)->SizeOfRawData,&dwBufferRead,NULL);</dwnumofsections;i+)returnTRUE;第二个函数，MemAllocFree主要是释放分配的内存。voidCP

39、EPackerDlg:MemAllocFree()/释放分配的虚拟内存VirtualFree(lpVirtualtAlloc,0,MEM_DECOMMIT);VirtualFree(lpVirtualtA110c,0,MEM_RELEASE);)最后在主函数OnButtonPacking中调用分配函数，及释放函数。/第三次加的内容/判断文件格式if(!IsPE(hFile)m_RichEditProcInfo.ReplaceSel("错误提示：文件不是PE格式！r'n");MessageBox("文件不是PE可执行文件"，"错误提示！&

40、quot;,MB_OK);return;)/第四次内容。分配内存，并载入内存/if(!MemAlloc(hFile)m_RichEditProcInfo.ReplaceSel("错误提示：文件加载到内存失败！rn");MessageBox("文件加载到内存失败！","错误提示！",MB_OK);return;)/获取文件大小dwFileSize=GetFileSize(hFile,NULL);/设定加壳后的文件名，我采取了一个偷懒的简单方法。/文件写入完毕后，释放内存MemAllocFree();/卸载文件映射，关闭文件句柄Unmap

41、ViewOfFile(lpHeadBase);CloseHandle(hMapping);CloseHandle(hFile);/在编辑框中显示信息最后还要将写入函数的指针设置为内存分配的句柄，代码如下:/写入文件if(!WriteFile(hFile,IpVirtualtAlloc,dwFileSize,&dwBufferRead,NULL)(MessageBox("写入文件失败！”,”错误提示！",MB_OK);/卸载文件映射，关闭文件句柄CloseHandle(hFile);return;最后编译，运行，即可。如有问题，请对照发布的源代码。为了优化函数，把第2

42、次内容所使用的文件映射相关的内容都删除掉。删除后的按钮事件代码如下：voidCPEPackerDlg:OnButtonPacking()(/TODO:AddyourcontrolnotificationhandlercodehereHANDLEhFile;/文件句柄DWORDdwFileSize;/文件大小DWORDdwBufferRead;/实际读取字节/打开文件hFile=CreateFile(m_FilePathName,GENERIC_READ,FILE_SHARE_READ,NULL,OPEN_EXISTING,FILE_ATTRIBUTE_NORMAL,NULL);/如果文件打开失

43、败，就弹出对话框，并返回。if(hFile=INVALID_HANDLE_VALUE)(MessageBox("打开文件失败！”,"错误提示",MB_OK);return;/第三次加的内容/判断文件格式if(!IsPE(hFile)(m_RichEditProcInfo.ReplaceSel("错误提示：文件不是PE格式！rn");MessageBox("文件不是PE可执行文件"，"错误提示！",MB_OK);return;/第四次内容。分配内存，并载入内存/if(!MemAlloc(hFile)m_Ri

44、chEditProcInfo.ReplaceSel("错误提示：文件加载到内存失败！rn");MessageBox("文件加载到内存失败！","错误提示！",MB_OK);return;/获取文件大小dwFileSize=GetFileSize(hFile,NULL);/设定加壳后的文件名，我采取了一个偷懒的简单方法。/如果要严格做，需要获取文件路径，扩展名等等。m_FilePathNamePacked=m_FilePathName.Left(m_FilePathName.GetLength()-4)+"_packed.ex

45、e"CloseHandle(hFile);/创建加壳后的文件句柄hFile=CreateFile(m_FilePathNamePacked,GENERIC_READ|GENERIC_WRITE,FILE_SHARE_READ|FILE_SHARE_WRITE,NULL,CREATE_ALWAYS,FILE_ATTRIBUTE_NORMAL,NULL);if(hFile=INVALID_HANDLE_VALUE)MessageBox("生成文件失败！”,"错误提示！",MB_OK);/写入文件if(!WriteFile(hFile,lpVirtualtAl

46、loc,dwFileSize,&dwBufferRead,NULL)MessageBox("写入文件失败！”,”错误提示！",MB_OK);/卸载文件映射，关闭文件句柄CloseHandle(hFile);return;)/文件写入完毕后，释放内存MemAllocFree();/卸载文件映射，关闭文件句柄CloseHandle(hFile);/在编辑框中显示信息m_RichEditProcInfo.ReplaceSel("文件加壳完成！rn");MessageBox("创建文件成功！”,"成功提示",MB_OK);)

47、(4)给程序添加一个区段主要内容：添加一个新的文件区段，用来存放壳代码，并用8来填充区段。本次内容将添加一个新的区段到原PE文件中，一般加壳程序都会添加一个新的区段用来存放壳代码(这只是一般情况)。然后修改添加区段后的文件的入口点，让程序从添加的壳代码段开始运行。本次内容只添加区段，不修改程序入口点。添加区段的主要有三个步骤。第一，是修改PE文件头信息。增加一个区段后，要修改NT头中的区段表个数成员，修改可选头的文件镜像大小成员。第二，获取要添加的区段的存放位置和大小，包括文件偏移位置和大小、文件相对虚拟地址和虚拟大小第三，就是将文件写入到文件末尾。添加区段后的区段表对比图如下：PF区段表对比

48、硕士毕业设计特别做区段表名VAddressVSueROffsstRSizeFlags.text00001000000040000000100000004000E000002000305000000010000000500000001000C0000040,idata000060000000100000006000000010004000004G,rsrc0000700000005000oootnooo0000500040000040.reloc(MJQOCOOOoooooriaoooocooo00口口OFIEE2000Q40rid立隹OOOODOOD00001003OOOODOOOODOOOC

49、OOCD0Q0D40加壳后区段表名VAddressVSireOffsetFlags,text00001000000040000000100000004000E0000020.data0005000ooooioao0000500000001000C0000040.id&ta0000600000001000000060000000100040000040.rsrcooooraooooao5oaoooooTooa0000500040000040,relccOQQOCQOOOOOQOTieOOOQCCOODODOOF1宣E2000040.idata2oooonooo00001000OOODDC

50、OOODOOOCOOCObatXMO.bugskyOOODEOOO00001000ooooncoo000(X)10040000020首先添加三个成员函数，如下:BOOLMakePacking(HANDLEhFile);/生成加壳后的文件voidMakeShell(HANDLEhFile);/生成壳代码段voidEditHeader();/修改文件头信息再添加两个成员变量，public型。LPVOIDlpVirtualShell;/壳虚拟内存指针DWORDSizeOfShell;/壳代码的的大小DWORDSizeOfImage;/文件镜像大小MakeShell函数功能是生成壳代码数据，先暂时用0

51、填充该数据段。其功能代码如下:/生成壳代码段voidCPEPackerDlg:MakeShell(HANDLEhFile)/壳代码段中暂定为用8填充SizeOfShell=0x100;/大小暂时定为256字节lpVirtualShell=VirtualA110c(NULL,SizeOfShell,MEM_RESERVE|MEM_COMMIT,PAGE_READWRITE);memset(lpVirtualShell,8,SizeOfShell);修改PE头，主要是修改区段表个数和镜像大小。修改PE文件头信息，主要是区块个数和镜像大小voidCPEPackerDlg:EditHeader（）（D

52、WORDdwNumOfSections;/区块个数DWORDdwFileAlign;/文件粒度（文件对齐大小）DWORDdwSectionAlign;/块粒度（内存对齐大小）DWORDdwAlignLastSection;/最后一个区段按内存对齐后的大小LPVOIDlpShellSecTab;/壳区段表指针IMAGE_SECTION_HEADERSectionHeaderOfShell;/壳代码段的区块表信息/以下为修改区段表信息功能，主要是增加壳区段表/初始化区段表结构memset(&SectionHeaderOfShell,0,sizeof(SectionHeaderOfShell

53、);/获取对齐大小数据dwFileAlign=pOptionalHeader->FileAlignment;dwSectionAlign=pOptionalHeader->SectionAlignment;/获取区块表个数dwNumOfSections=pNtHeader->FileHeader.NumberOfSections;/设定壳的区块表信息SectionHeaderOfShell.Misc.PhysicalAddress=SizeOfShell;/原始大小/在文件中对齐后的大小，除以文件粒度，如果余数为零，就直接使用；否则，就扩充对齐。SectionHeaderOf

54、Shell.SizeOfRawData=(SizeOfShell%dwFileAlign)?(dwFileAlign*(SizeOfShell/dwFileAlign+1):SizeOfShell;/区块特征SectionHeaderOfShell.Characteristics=IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE;区块名称重定位偏移重定位表数目行号表偏移行号表中行号数目memcpy(&SectionHeaderOfShell.Name,".bugsky",7);/SectionH

55、eaderOfShell.PointerToRelocations=0;/SectionHeaderOfShell.NumberOfRelocations=0;/SectionHeaderOfShell.PointerToLinenumbers=0;/SectionHeaderOfShell.NumberOfLinenumbers=0;/对齐最后一个区段后的块大小，来计算壳区段的虚拟地址。if(pSectionHeader+dwNumOfSections-1)->SizeOfRawData%dwSectionAlign)dwAlignLastSection=dwSectionAlign*(pSe