多态技术加壳软件的实现.pdfVIP

第26卷 第 15期 甘肃科技 r02．26 Ⅳ0．15 2010年 8月 Gans,uScienceandTechno At皤． 2010 多态技术加壳软件的实现 陈 虹，汤明月，章三妹 (川北医学院，四川南充 637100) 摘 要：主要用模块化的结构设计了一款加壳软件，在该加壳软件中，对壳的代码采用变形引擎进行加密，对将被加 壳的文件采用多态引擎进行加密，在壳中也采用了反调试、反虚拟机等保护措施。 关键词：壳；计算机病毒；反调试技术；API函数 中图分类号：TP319 软件加壳是近几年才流行的一种软件保护方 小等．可选头还有一个重要的域，称为：数据 目录 式，它是在软件常规保护方式对破解者失效后出现 表”的数组，表的每一项都是指向某一节的指针。 的。给程序加上外壳后，原始程序代码在磁盘上以 可选映像头后面紧跟的是节表和节节通过节表来实 加密的形式存在，只有当该程序在内存中执行时才 现索引。实际上，节的内容才是真正执行的数据和 会还原，这样就能有效地防止破解者对程序的非法 程序．每一个节都有相关的标志。每一个节会被一 修改和静态反汇编。 个或多个 目录表指向，目录表可通过可选头的”数 多态变形技术是病毒编写者为了对抗反病毒工 据 目录表”的人 口找到。就像输出函数表或基址重 作者的特征码扫描技术而出现的一种技术，如果一 定位表。也存在没有 目录表指向的节。 个病毒采用了多态变形技术，它能产生几百万，甚至 在DOSSTUB后是PE文件头(PEheader)。PE 上亿的不同代码形式(这取决于多态变形引擎的强 文件头是PE相关结构 IMGAE—NT—HEADERS的简 度)，尽管这些代码的功能是一样的。因此，我们可 称，即NT映像头，存放PE整个文件信息发布的重 以借鉴这种思想，在加壳软件中和被加壳的文件中 要字段，包含了PE装载器用到的重要域。执行体 引人多态变形技术，这样，逆向工作者无论是要写出 在操作系统中执行时，PE装载器将从DOSMz头中 该加壳软件的脱壳机，还是要破解用该加壳软件加 找到PE头文件的起始偏移量 e—lfanew，从而跳过 壳的文件，都会面对比以往更大的难度。 DOSSUTB直接定位真正的PE文件。它由3部分 组成 ： 1 PE文件格式 1)PE文件标志 (4H字节)。PE文件标志 PE文件被称为可移植的执行体是PortableExe． 0PEO0，标志着 NT映像头的开始，也 cute的全称，常见的EXE、DLL、OCX、SYS、COM都 是PE文件中与windows有关内容的开始。 是PE文件，PE文件是微软Windows操作系统上的 2)映像文件(14H字节)。是NT映像文件的主 程序文件 (可能是间接被执行，如 DLL)。由DOS 要部分，包含PE文件的基本信息。 头、DOSStub、文件头、块表、块、辅助信息块等部分 3)可选映像头。包含 PE文件的逻辑分布信 组成。 息。 PE文件最前面紧随 DOSMz文件头的是一个 DOS可执行文件 (Stub)，这使得PE文件成为一个 2 多态引擎 合法的MS—DOS可执行文件．DOSMZ文件头后面 在PE文件加壳处理中基于随机密钥的加密