浅谈程序脱壳后的优化

3、分离区段

要说明一下，分离区段和下面的一节修正 PE 头在其他脱壳文件的优化中并不是必须的，这里主要针对 WinUpack 的壳。现在关掉 LordPE，用 WinHEX 打开 dumped.exe，ALT+G，填入偏移 1000，转到相应位置，在偏移 1000 处点右键，选择定义选块，输入相应数据后点确定：

在选好的选块上右键选择复制选块->进入新文件，另存为 text.bin：

其实这个偏移 1000H，长度 1000H 的段不保存也无所谓，这里主要是让大家熟悉一下保存的方法。同样，我们把起始偏移为 3000H，大小为 1000H 的那个段也另存为 data.bin。有人可能要问了，你为什么不把起始偏移为 2000H，大小为 1000H 的那个区段也保存下来？呵呵，因为我知道这里是原来的放输入表信息的那个段，现在已经被破坏了，我就不要了。同样，偏移 4000H 以后的段我也不保存了，那里是资源段，因为在修正过程中我可能要用另外的 RVA 地址来重建资源，所以不保存了。现在我们在 WinHEX 中再定义一个选块，从偏移 2000H 直到文件尾，选中后删除这个选块。

4.修正PE头

现在我们还要做一件事，因为 WinUpack 把 PE 头搞得太乱，我们要找个正常的替换一下。这里我选择 XP_SP2 下的记事本，用 WinHEX 打开记事本，从文件开始偏移为 0 的地方选择一个大小为 1000H 的选块，右键选择复制选块->以十六进制数值方式，现在转到我们正在 WinHEX 中编辑的 dumped.exe，定位到文件开始偏移处，右键选择剪贴板数据->写入(从当前位置覆写)，把记事本的文件头粘贴过来。

完成上述工作后保存 dumped.exe，现在文件大小变成 8K 了，用 PETools 的 PE 编辑器来打开这个文件，进行一些修改。先点击文件头按钮：

把区段数由 3 改成 1 后确定，再点击可选头按钮：

改一下上面的镜像基址为 00400000，点击确定。这里可以参考原来备份的 dumped.exe 文件来修改（我前面已经说过要备份原来的那个 dumped.exe 文件用作参考，你不会没备份吧？）。

5、修正及添加区段

现在点击区段按钮，修改一下区段的一些属性。因为前面我们已经把区段改为 1 了，现在打开区段后，只看到一个 .text 区段。在这个区段上右击，选择编辑区段头：

因为我们现在的 .text 段是从偏移 1000H 开始的，大小为 1000H，所以我们要把上面的虚拟偏移和 RAW 偏移都改成 1000，虚拟大小和 RAW 大小也要改成 1000。在弹出的对话框上进行设置：

完成上述修改后点确定，回到区段编辑器中，现在我们要添加一个大小为 1000H 的段，用来存放输入表。这里可能大家也有疑问：你是知道原来的输入表段大小为 1000H，如果你不知道呢？你知道要添加多大的一个区段？其实我这里添加区段的大小是根据 ImportREC 的新建输入表信息中的大小来的：

我们可以在 ImportREC 中看到新建输入表的大小是 18CH，根据区段的对齐粒度 1000H，我这里就选大小为 1000H，已经够用了。这里要留一点余量，有时脱一些壳修复时，余量留的过小则修复的输入表不完全，这时可以从文件中删除这个区段，再按 1000H 的对齐粒度新建一个大一点的区段，重新修复输入表。现在继续我们前面的话题，在区段编辑器中右键点击，选择添加区段菜单项，在弹出的对话框上进行设置：

上面我打了红框的是要修改的地方。PETools 默认添加区段的名称是 .NewSH，为了便于识别这个段是用于存放输入表信息的，我们把名称选为 idata。其他的 RAW 数据及虚拟数据大小我们都填 1000，选择用 0x00 填充区段，现在点确定，一个新区段就添加进来了：

从上图中我们可以看出 .idata 段的虚拟偏移是 13000，这肯定不正确，我们应该保证各个段的虚拟地址都是连续的。以上图为例，.text 段的虚拟偏移是 1000H，虚拟大小是 1000H，这样虚拟偏移 ＋ 虚拟大小 ＝ 1000H ＋ 1000H ＝ 2000H，可知下一个区段的虚拟偏移应该是 2000H。同样道理 RAW 偏移也应该是连续的，虽然有时候我们看到有类似这样的：第一个区段：RAW 偏移：400H，RAW 大小：1D0；第二个区段：RAW 偏移：600H，RAW 大小：1B8，这样看起来好像并不连续啊。因为 400 ＋ 1D0 ＝ 5D0，下一个区段应该从 5D0 开始才对。但如果你用16进制工具打开文件看一下就知道了。这种情况是文件粒度按 200H 对齐，区段中的实际数据没有 200，这里显示的只是实际的数据大小，剩下的按 200H 对齐的部分用 0x00 填充了。所以下一个区段还是按文件对齐粒度设置偏移的。同样，文件对齐粒度是其他数值时也存在这种情况。说了这么多，大家应该也明白了，编辑一下 .idata 的区段头，把虚拟偏移 13000 改成 2000。至于后面那个特征值为什么可以改成 C0000040，我就不多说了，在编辑区段的时候点一下特征值后面那个 ... 按钮，上面应该可以看到详细的说明。

上一页  [1] [2] [3] [4] 下一页