第21章EXE加密.PDF

第21 章　 EXE 加密 EXE 加密是软件保护范畴的一种技术，通过对指定的 PE 文件进行加密，可以增加逆向分 析代码的难度，在一定程度上保护软件代码的安全。 EXE 加密技术经常用于对软件的加壳处理，通过 PE 分析软件对加密后的 PE 文件进行分 析 只能看到与补丁代码有关的信息 原始的 PE 文件相关信息被隐藏 同时 如果在 EXE ， ， ； ， 补丁代码中使用一些技巧 也能有效地增加 PE 反调试的难度 达到保护软件的目的 ， ， 。 21.1　基本思路 加密一个 PE 文件的基本思路如下： 步骤1　由补丁工具完成对目标 PE 文件数据目录表的修改，并将原始数据目录表的内容 转移到补丁代码中。 步骤2　由补丁工具完成对目标 PE 文件节区数据的加密。 步骤3　由补丁工具设置目标 PE 文件入口地址指向补丁代码。 步骤4　由补丁代码完成对目标 PE 文件数据目录表的还原。 步骤5　由补丁代码完成对目标 PE 文件 目标PE 文件头部 原始值 不改变 （ ， ） 节区数据的解密。 步骤6　由补丁代码完成对目标PE 文件 导入表中动态链接库的动态加载。 数据目录表 全部清零 （ ） 步骤7　由补丁代码完成对目标 PE 文件 IAT 的修正。 加密以后的目标文件结构如图 21-1 所示。 如图所示，由于加密以后的数据目录表 节 1 加密 （ ） 被清零 通过结构分析工具 如 PEInfo 查 ， （ ） 看目标 PE 文件时，数据目录表中注册的数 节 2 加密 （ ） 据类型都不会显示，原始数据目录表会被补 丁工具转移到补丁代码中。除数据目录表、 … SizeOfImage、最 后 一 节 的 SizeOfRawData、 函数入口地址AddressOfEntryPoint 外，目标 节 n 加密 （ ） PE 文件的头部数据基本保持不变。目标PE 文件的节区数据全部被加密保存，但节区数据 补丁代码 包含目标 PE 文件原始的数据目录表内容 （ ） 的长度不变，补丁代码被选择附加到目标 PE 文件的最后一节中。 　　图 21-1　加密以后的目标 PE 文件结构 第21 章　EXE 加密　 　577 21.2　加密算法 加密算法是 EXE 加密的核心